亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　在AusCERT（澳大利亞計(jì)算機(jī)應(yīng)急響應(yīng)小組）公布Bash的漏洞利用后，修補(bǔ)該0day已經(jīng)刻不容緩。

　　這似乎印證了某名研究員通過Yinette發(fā)布的相似成果，該研究員找出了一個(gè)惡意軟件，其指向了漏洞傳播的一個(gè)惡意爬蟲。

　　其他研究人員，包括卡巴斯基實(shí)驗(yàn)室的David Jacoby（頭像圖），以及Errata Security的Robert Graham也告誡說，Bash漏洞是蠕蟲式傳播且不可避免的。研發(fā)出網(wǎng)絡(luò)掃描器Masscan的Graham，早些時(shí)候在一篇針對漏洞系統(tǒng)的研究上發(fā)布了報(bào)告，采樣中80端口發(fā)現(xiàn)3000個(gè)漏洞系統(tǒng)。他說，嵌入式Web服務(wù)器和其他如DHCP之類的服務(wù)器，正處于威脅之中（小編注：危險(xiǎn)并不浮于表面！）。

　　“即使我的輕量級掃描只發(fā)現(xiàn)了3000個(gè)結(jié)果，這也能證明其為蠕蟲型傳播的，而且它可以輕易穿過防火墻，從而感染大量系統(tǒng)。”，Graham寫道，他補(bǔ)充說他當(dāng)時(shí)故意限制了掃描程度，其中包括從漏洞服務(wù)器Ping回其本機(jī)。

　　“有一個(gè)關(guān)鍵性問題，那就是Mac OS X和iphone DHCP服務(wù)是有漏洞的–一旦蠕蟲跑到防火墻后面，運(yùn)行的DHCP服務(wù)器，很容易就會造成大型局部網(wǎng)絡(luò)的崩潰。”

　　該漏洞利用在Yinette披露，而其在VirusTotal的檢測率為0，已被冠以漏洞編號CVE-2014-6271。大多數(shù)Linux發(fā)行版本的漏洞補(bǔ)丁已于昨日發(fā)布，但是紅帽公司卻發(fā)布了一個(gè)公告警示，該補(bǔ)丁打得并不完全，更改環(huán)境變量可能會導(dǎo)致任意代碼執(zhí)行。由此產(chǎn)生的新漏洞編號為CVE-2014-7169，其中詳細(xì)闡釋了這個(gè)情況。紅帽公司表示它會發(fā)布一個(gè)新的補(bǔ)丁。

　　Bash（Bourne again shell），是一個(gè)適用于大多數(shù)Linux發(fā)行版、UNIX、Mac OS X系統(tǒng)的嵌入式命令行shell程序。上面提到的漏洞能靜默訪問Bash的各種功能，這讓全面修補(bǔ)漏洞成了一個(gè)難題。該漏洞允許攻擊者遠(yuǎn)程連接，從而調(diào)用Bash執(zhí)行變量。

　　“這是顯而易見的，Bash的每個(gè)版本都會有漏洞”，昨日紅帽的安全產(chǎn)品經(jīng)理Josh Bressers告訴Threatpost的記者，“情況非常嚴(yán)重，但你需要在特殊情況下來醞釀攻擊–遠(yuǎn)程用戶有權(quán)限設(shè)置環(huán)境變量。謝天謝地，其影響范圍不大。”

　　以Apache服務(wù)器上為例，如果其在Bash里使用mod_cgi或者mod_cgid腳本運(yùn)行，可能會出現(xiàn)的一些更嚴(yán)重的實(shí)例。Bressers說，該漏洞也可以被用于穿過sshd配置的ForceCommand。ForceCommand本應(yīng)該限制遠(yuǎn)程執(zhí)行代碼，該漏洞可以繞過它的保護(hù)。一些針對SSH的Git部署在這種情況下會受到影響。

　　該漏洞是由Akamai公司的Stephane Chazelas發(fā)現(xiàn)的，人們已經(jīng)將其與心臟出血漏洞相媲美。如心臟出血漏洞一樣，處于危險(xiǎn)的并不是那些能輕易發(fā)現(xiàn)并打上補(bǔ)丁的web服務(wù)器，而是那些嵌入式系統(tǒng)和面向網(wǎng)絡(luò)的設(shè)備上的大量軟件包。

　　“這不像心臟出血，只影響特定版本的OpenSSL，這個(gè)Bash漏洞已經(jīng)延續(xù)了很長很長一段時(shí)間，”Graham寫道。“這意味著許多網(wǎng)絡(luò)中的老舊設(shè)備都有這個(gè)漏洞。像這樣的需要打上補(bǔ)丁，但卻因?yàn)橄拗茻o法實(shí)施的系統(tǒng)數(shù)量，會比心臟出血漏洞多很多。”