對于這個迅速吞沒安全社區(qū)的Bourne-again shell(Bash)中的“Shellshock”漏洞，已經(jīng)打了補丁的IT專業(yè)人士可能認(rèn)為他們不需要擔(dān)心這個漏洞了。然而，研究人員又發(fā)現(xiàn)了原來被忽視的問題，并發(fā)布了新的補丁，IT專業(yè)人士需要重新再更新系統(tǒng)。

[[120845]]

Bash漏洞(CVE-2014-6271)一經(jīng)發(fā)布就引起了廣泛關(guān)注，因為這個shell可以處理特制的環(huán)境變量，即其擁有在最后附加額外的惡意代碼的功能。在通用安全漏洞評分系統(tǒng)(CVSS)，該漏洞被評為10.0，它影響著世界各地數(shù)以百萬計的Linux系統(tǒng)，甚至讓人們將其與臭名昭著的Heartbleed OpenSSL漏洞作比較。

在該漏洞曝光后，Bash的項目管理者迅速發(fā)布了一個補丁;Red Hat等供應(yīng)商隨后更新了其產(chǎn)品，而這之后，研究人員發(fā)現(xiàn)了避開這個補丁的潛在方法。谷歌安全研究人員Tavis Ormandy是最早在Twitter上呼吁人們關(guān)注這個尚有缺陷的補丁的人之一。

對于我來說，這個bash補丁似乎不完全，函數(shù)解析依然脆弱，例如$ env X='() { (a)=>\' sh -c "echo date"; cat echo

——Tavis Ormandy (@taviso)

Ormandy的發(fā)現(xiàn)讓我們看到了新發(fā)現(xiàn)的問題(CVE=2014-7169)，并導(dǎo)致隨后發(fā)布第二次補丁，但這兩個補丁都沒有完全修復(fù)曝光的shell解析功能。在OSS-SEC郵件列表討論了這些問題后，研究人員上周末發(fā)現(xiàn)了Bash中兩個未指明的漏洞，被標(biāo)記為CVE-2014-7186和CVE-2014-7187，不過這些漏洞的嚴(yán)重程度尚不清楚。

另一位谷歌安全研究人員Micha Zalewski在其博客中表示他在周末還發(fā)現(xiàn)另一對Bash漏洞：CVE-2014-6277和CVE-2014-6278。雖然CVE-2014-6277是解析問題，最有可能被遠(yuǎn)程利用，Zalewski表示，他認(rèn)為CVE-2014-6278可能是自Shellshock曝光以來發(fā)現(xiàn)的“最嚴(yán)重的問題”。

CVE-2014-6278本質(zhì)上允許“在已經(jīng)修復(fù)第一個補丁的系統(tǒng)上執(zhí)行非常簡單和直接的遠(yuǎn)程代碼，”Zalewski在其博客中指出，他計劃將陸續(xù)公布關(guān)于漏洞的更多細(xì)節(jié)信息，“這是‘把你的命令放在這里’類型的漏洞，類似于原來報告中所描述的那樣。”

基于Zalewski的發(fā)現(xiàn)，Red Hat公司產(chǎn)品安全研究人員Florian Weimer發(fā)布了非官方的Bash補丁，據(jù)稱該補丁解決了上周所有已報道的Bash安全漏洞。Weimer的補丁隨后被項目管理者Chet Ramey采用，作為周六發(fā)布的Bash 4.3官方補丁的一部分。

在這個新補丁發(fā)布之際，業(yè)內(nèi)一些大公司已經(jīng)努力在各種產(chǎn)品中修復(fù)Bash。甲骨文公司發(fā)布的安全警報證實該供應(yīng)商的幾十款產(chǎn)品受到最初Shellshock漏洞以及最新的CVE-2014-7169的影響，但該公司沒有說明客戶何時會得到永久性修復(fù)。

思科為使用包含易受攻擊版本Bash的產(chǎn)品的客戶提供了軟件更新，但隨后的發(fā)現(xiàn)讓我們還不清楚這些補丁是否最終被證明是暫時的。

Zalewski表示：“在這一點上，我非常強烈地建議手動部署Florian的補丁，除非你的發(fā)行版已經(jīng)發(fā)貨了。”