我在 留言 地方提到
bash-3.2-33.el5.1 需要再 update 到 3.2-33.el5_10.4
bash-4.1.2-15.el6_5.1 需要再 update 到 4.1.2-15.el6_5.2
bash-3.0-27.0.1.el4 需要再 update 到 bash-3.0-27.0.2.el4
第一個修補是修這個 (CVE-2014-6271)
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
後來又發現新的漏洞 (CVE-2014-7169)
env -i X='() { (a)=>\' bash -c 'echo date'; cat echo
如下結果是中標的
bash: X: line 1: syntax error near unexpected token `=' bash: X: line 1: `' bash: error importing function definition for `X' 日 9月 28 20:35:06 CST 2014
也就是說這個故事有可能還沒演完
參考 : http://blog.knownsec.com/2014/09/shellshock_response_profile/
留言
這些shell的洞 都要等紅帽推出更新 風險真的太大了…
yes