國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2014-0020
近期美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號CVE-2014-6271 與CVE-2014-7169 (ShellShock),弱點可利用GNU Bash的環境變數執行未經授權的任意指令。
攻擊者可透過弱點主機上之網路服務,如web server,發送HTTP request 和CGI script,將惡意指令傳送至Bash,進而使系統自動執行攻擊者所設計的惡意指令。
為確保平台安全性,請各機關確認所屬系統GNU Bash版本並儘速修補漏洞,以防止遭受相關攻擊。
[影響平台:]
作業系統(如:Linux、Unix、Mac OS、Unix-like
(包含Router、Firewall、IPS、IDS、Android 、iOS)等)所使用GNU Bash之版本如下:
gnu:bash:1.14.0、gnu:bash:1.14.1、gnu:bash:1.14.2、gnu:bash:1.14.3、gnu:bash:1.14.4、gnu:bash:1.14.5、gnu:bash:1.14.6、gnu:bash:1.14.7、gnu:bash:2.0、
gnu:bash:2.01、gnu:bash:2.01.1、gnu:bash:2.02、gnu:bash:2.02.1、gnu:bash:2.03、gnu:bash:2.04、gnu:bash:2.05、gnu:bash:2.05:a、gnu:bash:2.05:b、gnu:bash:3.0、
gnu:bash:3.0.16、gnu:bash:3.1、gnu:bash:3.2、gnu:bash:3.2.48、gnu:bash:4.0、gnu:bash:4.0:rc1、gnu:bash:4.1、gnu:bash:4.2、gnu:bash:4.3
[建議措施:]
1.建議參考以下方式確認系統GNU Bash版本與安全性:
[方式1]確認GNU Bash版本
利用bash --version檢視GNU Bash 版本是否為上述影響範圍內。
[方式2]透過檢測指令確認系統是否存有弱點
CVE-2014-6271弱點檢測指令:
開啟shell 執行下列指令(請注意空白需正確輸入)
env x='() { :;}; echo
vulnerable' bash -c "echo this is a test"
若出現以下字串代表該主機存在該漏洞
vulnerable
this is a test
CVE-2014-7169弱點檢測指令:目前尚無有效檢測指令
2.如以上述方式檢測確認系統存有ShellShock弱點,請盡速至系統官方網站更新Bash版本。
相關新聞如下連結:
CVE-2014-6271 - Bash 遠端執行的安全漏洞
CVE-2014-6271 - 比 HeartBleed Bug 更嚴重的漏洞 !
http://www.ithome.com.tw/news/91233
回覆刪除新增 CVE-2014-7186及CVE-2014-7187
vSphere ESXi/ESX Hypervisor
回覆刪除ESXi 4.0, 4.1, 5.0, 5.1, and 5.5 are not affected because these versions use the Ash shell (through busybox), which is not affected by the vulnerability reported for the Bash shell.
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2090740