Bash安全漏洞——通过专门制作的环境变量注入漏洞
2014-09-25,早上,看到群上和红帽的网站上出现bash的安全漏洞,所以要赶快升级bash的版本。
新版本:确保了,不允许在命令结束后,执行一个bash函数。
测试漏洞:
[root@ ~]# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test |
如出现上面问题,则新需要更新bash。
更新bash:
yum update bash -y |
测试是否存在漏洞:
[root@ ~]# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test |
如果显示如上,表示已经修补了漏洞。
目前使用bash的多线程脚本,更新了100+的服务器了。
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。