我在 留言 地方提到

bash-3.2-33.el5.1 需要再 update 到 3.2-33.el5_10.4
bash-4.1.2-15.el6_5.1 需要再 update 到 4.1.2-15.el6_5.2
bash-3.0-27.0.1.el4 需要再 update 到 bash-3.0-27.0.2.el4

第一個修補是修這個 (CVE-2014-6271)

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

後來又發現新的漏洞 (CVE-2014-7169)

env -i X='() { (a)=>\' bash -c 'echo date'; cat echo

如下結果是中標的

bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
日 9月 28 20:35:06 CST 2014

也就是說這個故事有可能還沒演完

參考 : http://blog.knownsec.com/2014/09/shellshock_response_profile/

最後修改日期: 2014 年 09 月 28 日

作者

留言

這些shell的洞
都要等紅帽推出更新
風險真的太大了…

[Reply]

cross Reply:

yes

[Reply]

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。