关于Bash存在环境变量远程命令执行漏洞可被利用发起大规模攻击的情况通报

文章来源:       时间:2015年04月26日  点击次数:   [ 字体:  ]  

    9月25日,国家信息安全漏洞共享平台(CNVD)对Bash软件存在的一个环境变量远程命令执行漏洞进行分析,确认利用此漏洞可绕过环境限制远程执行服务器shell命令,获取服务器当前用户权限。Bash软件应用极为广泛,包括Redhat、CentOS、Ubuntu、Debian等主流Linux及类Unix操作系统均受到漏洞影响。具体情况通报如下:

    一、漏洞情况分析

    Bash软件是一种被广泛使用的解释执行系统命令的shell工具,最初是为GNU操作系统开发的,但能运行于大多数类Unix系统的操作系统之上,包括Linux与Mac OS X v10.4都将它作为默认shell。9月24日,Bash软件被发现在处理某些特定构造的环境变量时存在远程命令执行漏洞(漏洞编号:CNVD-2014-06345),通过向环境变量值内函数后添加特定字符串可触发此漏洞,从而绕过环境限制,远程执行服务器shell命令,并取得服务器当前用户权限。

    CNVD组织完成的多个测试实例表明,利用此漏洞,远程攻击者可以在受影响服务器上执行shell命令、植入后门并取得当前用户权限、获取文件和用户数据,危害性极大。

    二、漏洞影响范围

    CNVD对此漏洞的综合评级为“高危”。受此漏洞影响的产品包括:Bash 1.14-4.3版本。受影响的操作系统版本包括:Red Hat Enterprise Linux(版本4-7)、Fedora(版本19-21)、CentOS(版本5-7)、Ubuntu(版本10.04 LTS,12.04 LTS和 14.04 LTS)、Debian、Amazon Linux、Mac OS X 10.10等。此漏洞可能会影响到应用包括:使用ForceCommand功能的OpenSSH sshd、使用mod_cgi或mod_cgid的Apache服务器、DHCP客户端、其他使用Bash作为解释器的应用等。目前认为使用mod_php、mod_python和mod_perl的Apache httpd不受此漏洞影响。

    目前,受此漏洞影响的网站及服务器数量尚无法完全统计,CNCERT已监测发现不少于2万台服务器受此漏洞影响。由于Bash软件的使用极为广泛,预计受影响的网站及服务器数量较多。目前互联网上已经出现了针对此漏洞的攻击利用代码,预计在近期针对此漏洞的攻击将呈激增趋势,对网站服务提供商以及用户造成的危害将会进一步扩大。

    三、漏洞处置建议

    为防范可能的攻击,CNVD建议采取如下措施:

    (一)GNU和各大Linux发行商已提供了此漏洞相关的补丁,建议用户及时下载升级;

    (二)如用户无法及时升级,建议采用有效的第三方网站安全防护平台或专用防护设备对服务器提供防护;

    CNVD将持续跟踪漏洞攻击情况,如需技术支援,请联系CNVD。联系电话:010-82990201,邮箱:vreport@cert.org.cn,网站:www.cnvd.org.cn。

    相关安全公告链接参考如下:

    http://www.cnvd.org.cn/flaw/show/CNVD-2014-06345

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

    https://www.invisiblethreat.ca/2014/09/cve-2014-6271/