为何修复Shellshock漏洞像打地鼠

GNU Bourne Again Shell(bash)的Shellshock漏洞影响了广泛使用bash的Unix/Linux服务器，由于它允许远程执行代码获得与系统管理员相同的 权限去控制系统而被认为破坏力超过Heartbleed。而更糟糕的是，bash官方补丁没有完全修复问题。为何修复Shellshock漏洞就像打地鼠， 堵了一头另一头又冒出?Shellshock漏洞的工作原理是：攻击者可以向任何使用bash交互的系统如Web服务器、Git版本控制系统和DHCP客 户端发送请求，请求包含了以环境变量储存的数据。

曲松网站制作公司哪家好，找成都创新互联！从网页设计、网站建设、微信开发、APP开发、自适应网站建设等网站项目制作，到程序开发，运营维护。成都创新互联于2013年成立到现在10年的时间，我们拥有了丰富的建站经验和运维经验，来保证我们的工作的顺利进行。专注于网站建设就选成都创新互联。

环境变量就像是操作系统的剪切板，储存了帮助系统和软件运行的信息。在本案例中，攻击者发送的请求是精心 构造的，诱骗bash将其视为命令，bash像平常执行良性脚本那样执行命令。这种欺骗bash的能力就是Shellshock漏洞。官方发布的补丁被发 现仍然存在相似的漏洞。

计算机科学家David A. Wheeler在 邮件列表上指出，bash的解析器存在许多漏洞，因为它在设计时就没有考虑过安全性，除非它停止解析环境变量，否则修正就像是打地鼠。Wheeler建议 打上非官方的补丁修正bash，这些补丁会破坏向后兼容性。其中一个补丁来自德国计算机安全专家Florian Weimer，他的补丁为bash函数加入前缀，防止它们被指明为系统变量。另一个补丁来自NetBSD开发者Christos Zoulas博士，他的补丁只允许bash在收到明确请求时输入环境变量，消除安全风险。

FreeBSD的bash实现则在最新的修正中默认关闭了输入功能。Wheeler等人相信，虽然破坏了向后兼容性，但不会影响太多的bash依赖系统。苹果的OS X系统也存在Shellshock漏洞， 苹果表示大部分用户不会面临风险，只有配置了advanced UNIX services的用户会受到影响。OS X使用了v3.2.51.(1)的GNU bash，新版本bash许可证换到了条款更严格的GPLv3，所以苹果仍然使用旧版本。

本文名称：为何修复Shellshock漏洞像打地鼠
网站URL：http://www.gawzjz.com/qtweb/news47/191147.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联