Article ID: 123006, created on Sep 26, 2014, last review on Sep 27, 2014

  • Applies to:
  • Operations Automation
  • Plesk for Linux/Unix
  • Virtuozzo
  • Virtuozzo containers for Linux
  • Virtuozzo hypervisor

信息

Redhat 安全组于 2014 年 9 月 24 日发布了 Bash 的漏洞公告。您可以通过以下链接了解关于 CVE-2014-6271 报告 的更多信息。

安全影响和攻击向量调查发布在 Redhat 安全博客 上。

操作系统供应商已发布 bash 的修复版本:

尽管此漏洞不存在于 Parallels 的任何产品中,但我们强烈建议安装更新,因为它可能通过网络进入系统。

解决方案

  1. 要检查系统是否易受攻击,请执行以下命令:

    ~# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
    

    如果系统是 易受攻击的,输出是:

    vulnerable
    this is a test
    

    如果系统是 不易受攻击的,输出是:

    bash: warning: x: ignoring function definition attempt
    bash: error importing function definition for `x'
    this is a test
    
  2. 要修复有安全漏洞的版本,请按照操作系统供应商公告的说明安装更新。
    注意: 强烈建议在安装更新之后重新启动系统!!

  3. 针对新增的安全问题 CVE-2014-7169,受影响的系统组件和可能的解决方法可参阅 Redhat 文章 Bash 通过特制的环境变量执行代码注入攻击 (CVE-2014-6271)

其它信息

Red Hat 已经意识到 CVE-2014-6271 修补程序是不完整的。攻击者可以提供特制的环境变量,包含在一定条件下将在易受攻击的系统上执行的任意命令。新的问题是 CVE-2014-7169 。Red Hat 正在与上游开发商一起将它作为一个关键的优先程序进行修补。

e0aff7830fa22f92062ee4db78133079 caea8340e2d186a540518d08602aa065 198398b282069eaf2d94a6af87dcb3ff 614fd0b754f34d5efe9627f2057b8642 5356b422f65bdad1c3e9edca5d74a1ae 400e18f6ede9f8be5575a475d2d6b0a6 a914db3fdc7a53ddcfd1b2db8f5a1b9c 56797cefb1efc9130f7c48a7d1db0f0c 29d1e90fd304f01e6420fbe60f66f838 a26b38f94253cdfbf1028d72cf3a498b 2897d76d56d2010f4e3a28f864d69223 e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 0dd5b9380c7d4884d77587f3eb0fa8ef

Email subscription for changes to this article