为何修复Shellshock漏洞像打地鼠

为何修复Shellshock漏洞像打地鼠

编程入门访客2021-10-12 4:04:003741A+A-

  环境变量就像是操作系统的剪切板,储存了帮助系统和软件运行的信息。在本案例中,攻击者发送的请求是精心 构造的,诱骗bash将其视为命令,bash像平常执行良性脚本那样执行命令。这种欺骗bash的能力就是Shellshock漏洞。官方发布的补丁被发 现仍然存在相似的漏洞。

  计算机科学家David A. Wheeler在 邮件列表上指出,bash的解析器存在许多漏洞,因为它在设计时就没有考虑过安全性,除非它停止解析环境变量,否则修正就像是打地鼠。Wheeler建议 打上非官方的补丁修正bash,这些补丁会破坏向后兼容性。其中一个补丁来自德国计算机安全专家Florian Weimer,他的补丁为bash函数加入前缀,防止它们被指明为系统变量。另一个补丁来自NetBSD开发者Christos Zoulas博士,他的补丁只允许bash在收到明确请求时输入环境变量,消除安全风险。

  FreeBSD的bash实现则在最新的修正中默认关闭了输入功能。Wheeler等人相信,虽然破坏了向后兼容性,但不会影响太多的bash依赖系统。苹果的OS X系统也存在Shellshock漏洞, 苹果表示大部分用户不会面临风险,只有配置了advanced UNIX services的用户会受到影响。OS X使用了v3.2.51.(1)的GNU bash,新版本bash许可证换到了条款更严格的GPLv3,所以苹果仍然使用旧版本。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 1条评论
  • 边侣惘说2022-06-05 09:45:38
  • 实现则在最新的修正中默认关闭了输入功能。Wheeler等人相信,虽然破坏了向后兼容性,但不会影响太多的bash依赖系统。苹果的OS X系统也存在Shellshock漏洞, 苹果表示大部分用户不会面临风险,只有配置了advanced UNIX services的用户会受到

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理