A-A+
LinuxBash漏洞修复
大晚上的收到阿里云的官方短息,提示日前Linux官方内置Bash中新发现一个非常严重安全漏洞(漏洞参考https://access.redhat.com/security/cve/CVE-2014-6271 ),黑客可以利用该Bash漏洞完全控制目标系统并发起攻击,为了避免您Linux服务器受影响,建议您尽快完成漏洞修补,修补方案请参考论坛http://bbs.aliyun.com/read.php?tid=176977。
于是今天开始修补,第一次使用的是官方论坛的置顶方法,想着还挺简单,直接运行了
- yum -y update bash
进行更新,然后再次运行
- env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
进行验证,结果总是输出
- this is a test
各种查找,最后也不知道是修复成功了,还是修复失败了。
有人质疑阿里云官方置顶贴的通用和正确性,比如有文章认为应该先更新系统,然后再更新Bash,最后出现"this is a test"即表明修复成功,链接地址为:http://bbs.aliyun.com/read/177183.html?spm=5176.7189909.0.0.mPMG40。
还有人认为此修复可以被绕过,该重大漏洞仍然存在,链接地址为:http://mwulu.com/linux-bash-bug.html。
搞的头大,不管了,勤备份就行了,都是一些文章而已,反正本地仍旧有存档,爱咋咋地吧。不过,谁他喵的总说Linux安全的,这尼玛补丁都跟不上,真是10000只草泥马再次奔过。