漏洞GNU Bash 环境变量远程命令执行漏洞简介及解决方案

bash漏洞  时间:2021-01-04  阅读:()

GNU Bash环境变量远程命令执行漏洞(CVE-2014-6271)

一、 受影响系统

GNU Bash<=4.3 即当前所有的Linux/Unix/MAC OS/Cygwin等操作系统

二、 描述

GNUBash4.3及之前版本在评估某些构造的环境变量时存在安全漏洞向环境变量值内的函数定义后添加多余的字符串会触发此漏洞攻击者可利用此漏洞改变或绕过环境限制以执行shell命令。某些服务和应用允许未经身份验证的远程攻击者提供环境变量以利用此漏洞。此漏洞源于在调用bash shel l之前可以用构造的值创建环境变量。这些变量可以包含代码在shel l被调用后会被立即执行。这个漏洞被业界称为“毁灭级”的。

此漏洞可能会影响到使用ForceCommand功能的OpenSSH sshd、使用mod_cgi或mod_cgid的Apache服务器、 DHCP客户端、其他使用bash作为解释器的应用等。

参 考  Gitlab-shel l 受 Bash CVE-2014-6271 漏 洞 影 响http://www. l inuxidc.com/Linux/2014-09/107181.htm

三、 解决方案注意网络上广为流传的使用yum或者apt-get工具升级到最新版本的

做法当前都还不可靠不会升级到最新版本 因此务必要用以下方案二源代码方式升

级到最新版本

方案一若确认无受影响的应用程序则可将用户默认使用shel l改为csh或者其他shel l 若无则需安装

方案二升级bash到最新版本最新补丁。步骤如下

1、去http://ftp.gnu.org/gnu/bash/下载最新版本bash及其最新补丁文件 bash-4.3.tar.gz 和bash43-025.txt

2、确认当前操作系统具备m a ke、 g cc等基本编译软件如果没有需先进行安装3、将下载的bash文件放入到某个文件夹然后按一下步骤依次进行解压、打补丁、配置、编译、安装等。tar zxvf bash-4.3.tar.gz cp bash43-025.txt bash-4.3cd bash-4.3

patch-p0<bash43-025.txt

./configure make make instal l

4、修改/etc/passwd文件将其中所有的“/bin/bash”替换成“/usr/local/bin/bash”退出当前shel l 重新登录使用bash --version命令验证是否已经升级为4.3版本若已确认则删除旧版本文件/bin/bash文件。

企鹅小屋6折年付240元起,美国CN2 GIA VPS促销,独享CPU,三网回程CN2 GIA

企鹅小屋怎么样?企鹅小屋最近针对自己的美国cn2 gia套餐推出了2个优惠码:月付7折和年付6折,独享CPU,100%性能,三网回程CN2 GIA网络,100Mbps峰值带宽,用完优惠码1G内存套餐是年付240元,线路方面三网回程CN2 GIA。如果新购IP不能正常使用,请在开通时间60分钟内工单VPS技术部门更换正常IP;特价主机不支持退款。点击进入:企鹅小屋官网地址企鹅小屋优惠码:年付6折优惠...

无忧云-河南洛阳BGP,CEPH集群分布式存储,数据安全可靠,活动期间月付大优惠!

 无忧云怎么样?无忧云服务器好不好?无忧云值不值得购买?无忧云是一家成立于2017年的老牌商家旗下的服务器销售品牌,现由深圳市云上无忧网络科技有限公司运营,是正规持证IDC/ISP/IRCS商家,主要销售国内、中国香港、国外服务器产品,线路有腾讯云国外线路、自营香港CN2线路等,都是中国大陆直连线路,非常适合免备案建站业务需求和各种负载较高的项目,同时国内服务器也有多个BGP以及高防节点...

hosthatch:14个数据中心15美元/年

hosthatch在做美国独立日促销,可能你会说这操作是不是晚了一个月?对,为了准备资源等,他们拖延到现在才有空,这次是针对自己全球14个数据中心的VPS。提前示警:各个数据中心的网络没有一个是针对中国直连的,都会绕道而且ping值比较高,想买的考虑清楚再说!官方网站:https://hosthatch.com所有VPS都基于KVM虚拟,支持PayPal在内的多种付款方式!芝加哥(大硬盘)VPS5...

bash漏洞为你推荐
全能虚拟主机免费的虚拟主机不可以修改网站?asp主机asp虚拟主机租用哪里好?海外主机那些韩国主机,美国主机是怎么来的?查询ip怎么查看IP地址网站空间商网站空间商的选择??山东虚拟主机济宁梦网科技下载虚拟主机电脑虚拟机怎么弄安徽虚拟主机安徽众仁联合科技有限公司是做什么的啊??花生壳域名花生壳域名的使用域名服务器在网上买个域名和买个服务器有什么区别吗?
重庆虚拟空间 域名服务器 idc评测 godaddy优惠码 账号泄露 国外空间 typecho dropbox网盘 空间服务商 嘉洲服务器 韩国网名大全 大容量存储器 建立邮箱 刀片服务器是什么 谁的qq空间最好看 天翼云盘 个人免费主页 空间租赁 双线asp空间 中国电信测速器 更多