新发现Bash软件安全漏洞 威胁恐比“心脏流血”更大

最新推荐文章于 2024-11-03 12:02:27 发布
最新推荐文章于 2024-11-03 12:02:27 发布
阅读量497 收藏
点赞数
分类专栏: 杂谈 文章标签: linux 安全漏洞 bash 操作系统 补丁

据路透社报道,网络专家周三警告称,他们在广泛使用的Linux软件Bash中新发现了一个安全漏洞。该漏洞对电脑用户构成的威胁可能比今年4月发现的“心脏流血”(Heartbleed)漏洞更大。


    据路透社报道,网络专家周三警告称,他们在广泛使用的Linux软件Bash中新发现了一个安全漏洞。该漏洞对电脑用户构成的威胁可能比今年4月发现的“心脏流血”(Heartbleed)漏洞更大。Bash是一款软件,被用于控制众多Linux电脑上的命令提示符。安全专家称,黑客可以利用Bash中的漏洞完全控制目标系统。

    美国国土安全部下属计算机紧急响应小组(US-CERT)发布警告称,Bash漏洞将影响基于Unix平台的操作系统,包括Linux和Mac OS X。US-CERT建议电脑用户从软件开发商处获取系统更新。US-CERT称,包括红帽在内的Linux系统提供商已经准备好了更新补丁,但未提及OS X是否提供系统更新。苹果发言人无法取得联系。

    谷歌安全研究员塔维斯·奥曼迪(Tavis Ormandy)在Twitter上表示,Linux系统提供商推出的补丁似乎“并不完整”,这引发了几位安全专家的担忧。

    网络安全公司Rapid7工程部经理托德·贝尔德斯利(Tod Beardsley)警告称,Bash漏洞的严重级别为“10”,意味着它对用户电脑的威胁最大。Bash漏洞的利用复杂度级别为“低”,意味着黑客可以相对轻松地利用它发动攻击。

    另有网络安全公司Trail of Bits的CEO丹·古德(Dan Guido)表示,“心脏流血”漏洞能够允许黑客监控用户电脑,但不会取得控制权。此外,利用Bash漏洞的方法也更简单——只需要剪切和粘贴一行代码即可。

    “心脏流血”是今年4月在开源加密软件OpenSSL中发现的一处漏洞。由于OpenSSL已用于全球三分之二的网站中,所以“心脏流血”漏洞对数百万人的数据构成了威胁。该漏洞迫使数十家科技公司为数百款使用OpenSSL的产品发布了安全补丁。

    LINUXmadam
    关注
    专栏目录
    linux 心脏滴血漏洞,漏洞bash近日“破壳”,当心再次“心脏出血”
    weixin_34154352的博客
    05-16 312
    2014年9月24日,外媒曝出一个广泛存在于主流操作系统漏洞bash,该漏洞会影响到Redhat、CentOS、Ubuntu、Debian、Fedora 、Amazon Linux、OS X 10.10等平台,预计影响范围和纵深程度都可能匹敌或者超过今年4月发现的“心脏流血”(Heartbleed)漏洞。9月25日,经过与兄弟厂商的讨论,最终决定将此此漏洞中文名命名为“破壳,并于25日一早将此...
    LinuxBash漏洞 比“心脏出血”更危险
    weixin_34342992的博客
    09-26 195
    网络安全专家周三警告称,开源软件 Linux 中一个频繁使用的片段“Bash”,最近发现存在安全漏洞,其对计算机用户造成的威胁可能要超过今年 4 月爆出的“心脏出血”(Heartbleed)漏洞。“Heartbleed”是开源加密软件 OpenSSL 中的一个安全漏洞,于今年 4 月被发现。由于全球三分之二的网站使用了 OpenSSL,“Heartbleed”漏洞让数千万人的...
    Bash安全漏洞 威胁恐比心脏流血更大,速度update!
    weixin_33890526的博客
    09-25 94
    据国外媒体报道,网络安全专家周三警告称,开源软件Linux中一个频繁使用的片段“Bash”,最近发现存在安全漏洞,其对计算机用户造成的威胁可能要超过今年4月爆出的“心脏出血”(Heartbleed)漏洞Bash是用于控制Linux计算机命令提示符的软件。网络安全专家表示,***可以利用Bash中的一个安全漏洞,对目标计算机系统进行完全控制。 网络安全公...
    威胁远胜“心脏出血”?国外Bash高危安全漏洞
    weixin_34291004的博客
    09-25 99
    这几天Linux用户们可能不能愉快地玩耍了,红帽(Redhat)安全团队昨天爆出一个危险的Bash Shell漏洞。其带来的威胁可能比早前披露的“心脏出血”漏洞更大更强! [OpenSSL心脏出血漏洞全回顾] http://www.freebuf.com/articles/network/32171.html [如何阻止下一次心脏出血漏洞]http://www.freebuf.com/ar...
    Bash漏洞Shellshock,威胁心脏出血
    yingrenzhe68的专栏
    10-02 317
    多名网络安全专家宣称,他们发现一种在网络中已经隐藏20年的bug,这种名为Bash漏洞比“心脏出血”漏洞威胁还要严重。黑客可以通过它遥控向网络服务器发出指令,这意味着服务器受影响的公司将遇到大麻烦。 Bash漏洞软件公司Red Hat的安全团队于9月24号发现的,许多专家称其威胁比“心脏出血”还要大,后者是4月份被发现的,依然在影响数千台设备。而Bash对公司的影响要超过对个人的影响,...
    2016Bash的CVE-2014-6271漏洞修复经历
    神经质的盛宴的专栏
    02-23 828
    2016年到了,有很多的想法和目标,其中一个就是好好维护我的博客和上线更多的应用。 打开很久都没更的博客,发现打不开了。以为长时间运行的问题,所以把服务器强制重启了,过会后发现正常了。 过了半天发现,怎么又打不开了呢。真是莫名其妙,难道被人黑了? 于是开始分析阿里云的性能监控发现了一些端倪。 网络和内存状态一直都很正常,CPU的监控有异常,存在很多大波动,长时间CPU比较高。
    手对Bash环境变量解析漏洞的理解 http://www.linuxidc.com/Linux/2014-10/107984.htm
    诺尔曼
    09-28 6094
    1 环境变量是什么 无论是Windows程序还是Linux程序,都支持环境变量,一般来讲环境变量作为赋值字符串的形式存放到进程内存空间的开头部分。用户在执行一个程序时,可以通过指定环境变量来给被执行的程序传递信息。在GUI占主导的Windows平台上,一般用户很少需要使用环境变量来为程序传递信息。环境变量是进程空间的资源,不同进程的环境变量不能共享。但是可以通过进程资源继承机制来把父进程的环境变
    二进制漏洞分析与挖掘
    05-16 5720
    本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如果错漏,欢迎留言指正 二进制漏洞分析与挖掘 《0day安全:软件漏洞分析技术第2版》王清电子工业出版社 入门用,但不全,过时了,linux部分没有包含进去 漏洞分析、挖掘和利用,安全领域重要和最具挑战性和对抗性的分支 应用在综合开发,算法,语法,系统底层,内核,逆向,汇编,调试等方方面面 漏洞是怎么回事? BUG:软件的功能性逻辑缺陷。影响软件的正常功能。 漏洞:能够导致软件做一些超出设计范围的事情的bug,则漏洞。这类BU..
    2024年Java代码审计之SpEL表达式注入漏洞分析_spel 代码审计,膜拜大牛
    2401_84557849的博客
    05-05 602
    3、到配置文件修改服务端口为 8081(默认为 8080,与BurpSuite抓包代理冲突了):4、接下来直接运行 SpringBoot 项目,即可在本地 8081 端口成功访问到 Web 服务:从上面简单而直观的漏洞示例代码可以看出,在不指定或者显示采用作为上下文的时候,如果 SpEL 表达式的值可被外部输入所控制,则存在因 SpEL 表达式注入导致 RCE 的风险。
    红队系列-网络安全知识锦囊(持续更)
    aming小老弟
    11-09 1341
    AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
    Ghost in the Log4Shell
    IDEAL Garden
    01-07 238
    核弹级漏洞 Log4Shell(CVE-2021-44228)的影响必将是深远的,不仅仅是当下肉眼可见的攻击事件和损失数据,在相当长时间的将来我们都会被这次的阴影所笼罩 – 蠕虫病毒和勒索软件的肆虐,个人敏感数据的大量泄漏。
    OpenSSL安全最佳实践指南
    OpenSSL是一个强大的开源工具,提供了一系列加密和通信安全功能,被广泛应用于网络通信、数据加密等领域。它支持多种加密标准和协议,如SSL/TLS,RSA,DH等,为系统安全性提供了重要保障。 ## 1.2 OpenSSL的核心...
    渗透测试高级面试题
    热门推荐
    fzx_hsaj的博客
    02-13 1万+
    1 应用程序开发过程中,下面那些开发习惯可能导致安全漏洞?() A 在程序代码中打印日志输出敏感信息方便调式 B 在使用数组前判断是否越界 C 在生成随机数前使用当前时间设置随机数种子 D 设置配置文件权限为rw-rw-rw- 答案:AD 解释: A 为日志包含敏感信息,容易泄露账号密码接口数据等信息,可能产生安全漏洞。 B 为数组大小问题,数组不越界,可防止溢出安全漏洞。因此是安全的。 C 用...
    Linux】进程状态相关知识详细梳理
    最新发布
    fulufulucode的博客
    11-03 323
    可以看到,子进程退出后,父进程没有进行资源回收(调用wait()),子进程的状态就会变成“Z+”,其中Z表示僵尸状态 ,+表示进程属于前台进程的一部分。每个僵尸进程在进程表中保留一个条目,系统的进程表是有限的。如果僵尸进程数量过多,可能会导致进程表满,的进程无法创建。fork函数“有两个返回值”,父进程会返回子进程的pid,子进程会返回0,于此同时,子进程会继承父进程的代码以及数据(所有运行在系统里的进程都以task_struct链表的形式存在内核里,也可以称为进程表。那么如果父进程先退出呢?
    Linux特种文件系统--tmpfs文件系统
    刘元林的博客
    10-29 1046
    tmpfs类似于RamDisk(只能使用物理内存),使用虚拟内存(简称VM)子系统的页面存储文件。tmpfs完全依赖VM,遵循子系统的整体调度策略。说白了tmpfs跟普通进程差不多,使用的都是某种形式的虚拟内存,至于数据存储在物理内存中还是在交换分区中,全权交由VM子系统。定义: 是一个基于内存的文件系统,它在 RAM 中存储数据,因此访问速度非常快。用途: 通常用于存储临时文件,这些文件不需要永久保存,而且频繁读写。使用 可以减少对物理磁盘的磨损,并提高性能。示例路径:常见的 挂载点包括 、、 等。持
    第三章.Linux文件管理和IO重定向
    Raymond的博客
    10-30 74
    Linux的文件系统分层结构:FHS Filesystem Hierarchy Standard参考文档:http://www.pathname.com/fhs/ 1.3 应用程序的组成部分 1.4 CentOS 7 以后版本目录结构变化 /bin 和 /usr/bin /sbin 和 /usr/sbin /lib 和/usr/lib /lib64 和 /usr/lib64 范例: 1.5 Linux下的文件类型 - 普通文件 d 目录文件directory b 块设备block c 字符设备cha
    Linux】MySQLMGR主从复制
    Stringzhua的博客
    10-30 857
    MySQL是⽬前最流⾏的开源关系型数据库,国内⾦融⾏业也开始全⾯使⽤,其中MySQL5.7.17提出的 MGR(MySQL Group Replication)既可以很好的保证数据⼀致性⼜可以⾃动切换,具备故障检测功能、 ⽀持多节点写⼊,MGR是⼀项被普遍看好的技术。MGR(MySQL Group Replication)是MVSQL⾃带的⼀个插件,可以灵活部署。
    Linux tac命令‌
    weixin_37788102的博客
    10-30 327
    tac命令实际上是cat命令的一个变体,尽管它的功能相对简单,但在某些情况下非常有用。例如,当需要查看文件的最后一行(通常是标题或总结)时,使用tac命令可以避免滚动查看整个文件。此外,tac命令对于处理大型文件或需要快速定位文件末尾内容的情况非常有用‌。‌Linux tac命令‌是一个用于逆序显示文件内容的工具,其名称来源于“cat”的反向拼写。tac命令的基本功能是将文件的内容从最后一行开始输出,直到第一行结束,这与cat命令的功能相反,cat命令是从第一行开始输出直到最后一行。tac命令的基本用法。
    Linux 之 信号概念、进程、进程间通信、线程、线程同步
    挥剑决浮云的博客
    11-01 625
    如果释放互斥锁时有一个以上的线程阻塞,那么这些阻塞的线程会被唤醒,它们都会尝试对互斥锁进行加锁,当有一个线程成功对互斥锁上锁之后,其它线程就不能再次上锁了,只能再次陷入阻塞,等待下一次解锁。事实上,子进程是父进程的一个副本,譬如子进程拷贝了父进程的数据段、堆、栈以及继承了父进程打开的文件描述符,父进程与子进程并不共享这些存储空间,这是子进程对父进程相应部分存储空间的完全复制,执行fork()之后,每个进程均可修改各自的栈数据以及堆段中的变量,而并不影响另一个进程。是一族函数,而不是一个单独的函数。
    禁止存在bash安全漏洞
    08-02
    1. **更系统**:定期更操作系统Bash 及其依赖的软件包,因为版本通常包含了安全修复。 2. **限制权限**:给普通用户创建受限的 Bash shell环境,避免root权限的滥用。使用`su`或`sudo`谨慎地切换用户。 3...
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值