|
第一個補丁彈震癥可能不是一個完整的修復。遠程控制軟件,灰鴿子下載
1.jpg (32.08 KB, 下載次數: 446)
下載附件
2014-9-26 10:22 上傳
Linux和UNIX系統管理員今天急于修補一個新的遠程命令解釋器上可利用的漏洞,安全專家警告說可能會大于嚴重Heartbleed OpenSSL缺陷。
cve - 2014 - 62771缺陷在Bash shell -最廣泛使用的Linux命令行shell之一——將Apache網絡服務器在被破壞的風險,如果他們的通用網關接口(CGI)腳本調用Bash。灰鴿子教程
缺陷,稱為“彈震癥”,已經比Heartbleed錯誤的安全研究人員而言,其影響廣泛的用戶數量的能力。
勘誤表安全的羅伯特·格雷厄姆說,Bash錯誤應該被視為嚴重Heartbleed由于大量的軟件,與殼牌、交互的未知系統仍然沒有修補,錯誤已存在的時間。
“不像Heartbleed只影響OpenSSL的特定版本,這Bash的缺陷已經存在很長一段,長時間。這意味著有很多舊設備在網絡上容易受到這個bug。
數量需要修補,但不會,比Heartbleed大得多,”格雷厄姆在一篇博客文章中寫道。
FireEye威脅研究部主任達Kindlund,說彈震癥是“比Heartbleed”影響服務器,幫助管理大量的流量。
“保守,影響是20到50%的全球服務器支持網頁,”他說。
“具體來說,這一問題影響web服務器使用GNU BASH處理交通從互聯網。此外,這個bug涵蓋幾乎所有基于cgi的web服務器,通常老系統在互聯網上。”
勞拉·貝爾Safestack安全總監和首席顧問公司。io,告訴iTnews主機和設備的影響,彈震癥可能Heartbleed一樣嚴重,但是它不太明顯的安全以外的社區。
她說彈震癥應該歸類為關鍵問題由于其高影響攻擊系統和利用的。灰鴿子破解版
“我不相信我們看到的這個漏洞的潛在影響。這樣的漏洞發布,發布的測試和擴展社區產生作用了材料,”她說。
“我期望我們將會看到一些積極的利用,自動化工具和擴展在未來24 - 48小時彈震癥”。
貝爾建議用戶注意補丁,關閉不必要的服務可以公開他們的攻擊,并修改防火墻來防止遠程攻擊。
系統管理員也被建議運行一個簡單的Bash命令來檢測他們的系統是脆弱的。
所有版本的Bash版本4.3很容易彈震癥,由于命令解釋器的處理環境變量,允許攻擊者在許多常見的配置遠程注入代碼。
補丁不是有效:安全專家 灰鴿子免殺版 灰鴿子教程
許多Linux發行版已經發布漏洞補丁,但失眠安全研究員亞當•波瓦洛警告他們可能不完整。
“它看起來像補丁不修復環境變量被用來傳遞的情況下,可執行代碼。我們仍在測試補丁,希望很快有更多的信息,”波瓦洛說。
其他一些安全專家強調了不完整的自然修復的Red Hat Bugzilla頁面。
蘋果沒有發布一個補丁的時候寫作。3.2 iTnews發現Bash蘋果OS X 10.9.5容易彈震癥
彈震癥被評為10 10或最高嚴重性評級由美國國家漏洞數據庫。此外,NVD認為彈震癥時10分的影響和可利用性。 |
|