|
很多人或许对上半年发生的安全问题“心脏流血”(Heartbleed Bug)事件记忆颇深,然而仅时隔几个月,又出现了另外一个“毁灭级”的漏洞—Bash软件安全漏洞。该漏洞由法国GNU/Linux爱好者Stéphane Chazelas所发现,当用户正常访问,该漏洞允许攻击者的代码像在Shell中一样执行,这就为各种各样的攻击打开了方便之门。 更多精彩内容,让我们通过本期一周消息树回顾! 1. 比“心脏流血”还危险?详解Bash漏洞安全事件! 本周四,美国电脑紧急应变中心(US-CERT)、红帽以及多家从事安全的公司发出警告,称发现了另外一个“毁灭级”的漏洞—Bash软件安全漏洞。据悉,这个Bash漏洞为远程解析命令执行漏洞(CVE-2014-6271),可以直接在Bash支持的Web CGI环境下远程执行任何命令。这也就使得一些路由器、堡垒机、VPN等网络设备将会成为重灾区,另外各大Linux发行版和Mac OS X系统都受影响,甚至包括Android。 目前负责维护Bash Shell的Chet Ramey已经修补该漏洞,更新Bash 3.0至Bash 4.3的版本,可以运行:yum update -y bash进行升级处理。网络安全公司Rapid7工程部经理Tod Beardsley称,Bash漏洞危险几倍很高,但利用复杂度为“低”,只要剪切和粘贴一行代码即可,意味着黑客可以很轻松地利用发起攻击,这从一定程度上又加剧了互联网安全灾难。 作者:单明珠 |
|
|
