一个名为 Shellshock 的软件漏洞日前曝光,安全人认为其危害较严重,可能很过早先发现的“心脏出血”软件漏洞,黑客可能会利用这个漏洞侵入范围的网络服务器和众多联网设备。
Shell Shock 是这天被发现的一个新的系统安全漏洞,比 Heartbleed 更厉害,直接影响的 Linux 操作系统,嵌入式设备以及我们所使用的网络路由器设备等。请关注 Linux 厂商提供的安全更新或者修复补丁,虽然这不是 Web 服务器级的安全漏洞,但是影响范围会比较大。
这次的漏洞是系统级别的,并不是针对于数据或安全证书存在相应的风险漏洞。建议通过更新Linux 系统系统官方发布的补丁来实现封堵这一漏洞。
另外也建议通过 http://shellshockvuln.com/ 之中提供的命令代码测试自己的服务器,并通过目前现有的更新来实现修复。
这个漏洞存在于 Unix 操作系统中名为 Bash 的一段开源代码中,可能已隐藏多年,直到 23日 被研究人员发现并公布。Unix 是很早的操作系统,后来的一些操作系统包括开源的 Linux、苹果电脑的操作系统都建立在该系统基础上,现在许多公司的网络都使用 Unix 系统。因此,黑客可以利用这个漏洞控制相关操作系统和网络设备。
美国国家标准与技术研究所将 Shellshock 漏洞的严重性、影响力和可利用性评为高的 10 分,同时对其复杂性的评分较低,这意味着黑客可以相对容易地利用这一漏洞。美国国土安全部计算机应急响应小组就这一漏洞发出警告,建议使用 Unix 和 Linux 操作系统的用户及时加上合适的修复补丁。
目前各方网络安全人正在评估这个漏洞可能会造成的影响。据估计,黑客入侵的高危目标包括网络服务器,以及智能手机、路由器、医疗设备等联网设备。网络安全公司“趋势科技”认为可能受影响的设备数量达5亿。有安全人认为,该漏洞的影响可能比今年4月发现的“心脏出血”安全漏洞更严重。
电商巨头亚马逊 25 日发布公告,表示开始指导其客户如何应对 Shellshock漏洞。谷歌公司也在采取措施,以解决公司内部服务器和云服务中存在的这个漏洞。
在这个漏洞曝光后,一些 Linux 软件供应商很快发布了补丁。但研究人员发现其中存在缺陷,补丁并不完整,不能全部解决问题,所以请持续关注。
