GNU Bash 环境变量远程命令执行漏洞(CVE-2014-6271)

littlebandit · 发表于 2014-9-26 10:01:26

一个比之前的心脏出血漏洞更有威胁的漏洞出现。
绝大部分的linux系统都受影响。
测试方法：
==========
本地验证bash是否受影响的方法：

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

如果显示上述信息，则受影响。

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'

如果显示上述信息，则不受影响。
redhat及centos可以通过下面的方法解决
通过yum update bash更新
http://lists.centos.org/pipermail/centos/2014-September/146099.html
使用centos官方yum源，其他源可能没有更新到
yum makecache
yum update bash -y

不过目前该漏洞通过这个方式修复不完整，还有漏洞CVE-2014-7169需要更新

新人来报道 · 发表于 2014-9-30 10:54:38

一个比之前的心脏出血漏洞更有威胁的漏洞出现

yuanye002 · 发表于 2014-10-5 23:13:45

已经修复！

GNU Bash 环境变量远程命令执行漏洞(CVE-2014-6271)

XHHH

浏览过的版块