天融信率先发布BASH爆出高危漏洞规则库

 北京 2014-09-29(中国商业电讯)－－2014年9月25日，US-CERT 公布了一个严重的 Bash 高危漏洞 (CVE-2014-6271)，该漏洞对计算机用户造成的威胁要超过今年4月爆出的“心脏出血”(Heartbleed)漏洞，它可让黑客轻易获取网络服务器管理权限，严重危害用户信息系统安全。天融信攻防团队紧急开启漏洞分析预案，第一时间发布针对该漏洞的升级规则库。同时天融信入侵防御系统TopIDP与天融信入侵检测系统TopSentry规则库可同步更新针对该漏洞的补丁签名，防护“黑客”通过该漏洞对用户的信息系统进行破坏。

BASH是一个为GNU计划编写的Unix shell。Bash是与系统内核交互的窗口，用于执行用户输入的命令。

在GUN Bash 4.3 以及之前的版本在处理构造时存在安全漏洞，该漏洞可以由向环境变量值内添加精心构造的字符串来触发，攻击者可以利用此漏洞绕过限制执行shell命令。某些服务和应用允许未经身份验证的远程攻击者特工环境变量以利用此漏洞。此漏洞源于在调用bash shell之前可以用钩子的值创建环境变量，同时该变量可以包含命令代码，在shell被调用后会立刻执行。该漏洞极具危害。

漏洞原因：

当前Linux一定版本的bash通过以函数名作为环境变量名，以“（）{”开头的字串作为环境变量的值来将函数定义导出为环境变量。

利用脚本：

输入：$ curl -A ‘() { :; }; /bin/cat /etc/passwd>dumped_filehttp://test.com/poc.cgi

输出：当在解析请求时，CGI标准会将User-Agent部分‘() { :; }; /bin/cat /etc/passwd>dumped_file’部分映射到环境变量，bash在解析这段字符串时，会触发漏洞，将/bin/cat /etc/passwd>dumped_file当成系统命令直接执行。

漏洞检测与防御：

漏洞检测：

SHELL输入：$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

SHELL输出：vulnerable

this is a test

结论：如有以上输出则存在该漏洞。

影响版本：

Bash <= 4.3

漏洞的防御：

请及时更新天融信入侵防御与检测规则库至最新版本。

同时升级Linux操作系统BASH

RedHat、Centos版本：yum update -y bash；

Ubuntu、debian版本： apt-get update；apt-get install bash。

其他版本：请下载相应的升级文件或源代码进行重新编译安装。 
有人模仿我们的网站请记住我们的唯一地址（www cnit5 com）为您提供以上文章内容。郑重声明：IT行业资讯网站刊登/转载此文出于传递更多信息之目的 ，并不意味着赞同其观点或论证其描述。本站不负责其真实性。