Bash安全漏洞——通过专门制作的环境变量注入漏洞

最新推荐文章于 2023-04-04 10:16:05 发布
最新推荐文章于 2023-04-04 10:16:05 发布
阅读量196 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/fufangchun/blog/318467
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

Bash安全漏洞——通过专门制作的环境变量注入漏洞

 

2014-09-25,早上,看到群上和红帽的网站上出现bash的安全漏洞,所以要赶快升级bash的版本。

新版本:确保了,不允许在命令结束后,执行一个bash函数。

 

测试漏洞:

 

[root@ ~]# env x='() { :;};   echo vulnerable'  bash -c "echo   this is a test"

vulnerable

this is a test

 

         如出现上面问题,则新需要更新bash

 

更新bash

 

yum update bash -y

/sbin/ldconfig

 

         就不需要重启了。

 

测试是否存在漏洞:

 

[root@ ~]# env x='() { :;};   echo vulnerable' bash -c "echo this is a test"

bash: warning: x: ignoring function definition attempt

bash: error importing function definition for `x'

this is a test

 

         如果显示如上,表示已经修补了漏洞。

 

         目前使用bash的多线程脚本,更新了100+的服务器了。

 

         有人说要重启系统,可以参考这个文章:https://access.redhat.com/solutions/1207723

 

 

 

 


转载于:https://my.oschina.net/fufangchun/blog/318467

weixin_34008805
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
bash代码注入安全漏洞
Commander
05-28 827
【什么是Bush?】http://baike.baidu.com/item/bash?fr=aladdin 很多人或许对上半年发生的安全问题“心脏流血”(Heartbleed Bug)事件记忆颇深,这两天,又出现了另外一个“毁灭级”的漏洞——Bash软件安全漏洞。这个漏洞由法国GNU/Linux爱好者Stéphane Chazelas所发现。随后,美国电脑紧急应变中心(US-CERT)、红帽以及多
红帽:Bash 通过特殊环境变量进行代码注入攻击
weixin_33958366的博客
06-12 165
Bash 或Bourne again shell,是一个类UNIX shell 脚本,可能是任何Linux系统中最常见的安装组件。从1980年诞生到现在,bash 已经从一个简单的基于终端的命令解释器演进到诸多其他的奇特用途。 文章转载自 开源中国社区 [http://www.oschina.net] ...
软件安全(二)通过环境变量实现攻击
qq_44109982的博客
12-15 739
环境变量是存储在进程内存中的键值对(name-value pair),用户可以在运行程序前设置环境变量,程序运行时,环境变量会被程序隐式或显示地使用,这为用户通过改变环境变量来影响程序行为提供了可能性 2.1环境变量 访问环境变量: void main(int argc,char * argv[ ],char * envp[]) main函数的第三个参数就指向了环境变量数组,在main函数中,可以使用的envp[ ]数组来获取环境变量值。 此外,还可以通过environ(char * *)这个全局变量来
Bash漏洞——Shellshock浅析.pdf
07-10
Bash漏洞——Shellshock浅析.pdf 学习资料 复习资料 教学资源
Linux Bash严重漏洞紧急修复方案
08-04
Bash存在一个安全的漏洞,该漏洞直接影响基于Unix的系统。本文主要介绍了修复漏洞的一些方法。
修复bash漏洞的shell脚本分享
09-04
主要介绍了修复bash漏洞的shell脚本分享,本文脚本适应常见的linux服务器系统,如CentOS、Debian、Ubuntu、OpenSuSE、Aliyun等系统,需要的朋友可以参考下
Bash高危安全漏洞 解决方案
09-27
Bash是Linux用户广泛使用的一款用于控制命令提示符工具,这个最新被披露的bash漏洞代号为Bash bug或Shellshock。当用户正常访问时,只要shell是唤醒状态,这个漏洞就允许攻击者执行任意代码命令,并且已经在企业级...
Linux中Bash环境变量的配置方法
09-14
Shell 既是一种命令语言,又是一种程序设计语言。这篇文章主要介绍了Linux中Bash环境变量的配置方法,需要的朋友可以参考下
基础漏洞II 针对环境变量的攻击及案例分析 Attack Surface on Environment Variables
CHERRY_cong的博客
03-23 784
针对环境变量的攻击及案例分析 Attack Surface on Environment Variables 对环境变量的介绍以及访问&获取方法,在setuid程序的应用等在上一篇博客讲到 环境变量与Shell变量的定义&区别&用法;环境变量的访问&获取&传递 这篇主要讲针对环境变量的攻击;尤其是在setuid程序中 Attack Surface on Environment Variables Linker Application library externa
linux特殊系统变量,Bash 通过特殊环境变量进行代码注入攻击
weixin_42334285的博客
04-29 300
Bash 或Bourne again shell,是一个类UNIX shell 脚本,可能是任何Linux系统中最常见的安装组件。从1980年诞生到现在,bash 已经从一个简单的基于终端的命令解释器演进到诸多其他的奇特用途。在Linux中,环境变量影响着系统软件。它们都是由一个名称和对名称的赋值构成。bash shell也是如此。在程序后台运行bash shell很常见。通常用于向远程用户提供一...
【网络安全】Bash漏洞原理POC及ShellCode
Walter的专栏
09-26 4498
从昨天开始,这个从澳大利亚远渡重洋而来的BASH远程命令执行漏洞就沸腾了整个FreeBuf,大家都在谈论,“互联网的心脏又出血了”,可是,亲,到底怎么对网站进行测试?下面这段脚本 $ env x=‘() { :;}; echo vulnerable'  bash -c "echo this is a test" 真的如各路大神们说的这样吗? 它与“心脏出血”漏洞不同,“心脏出血
NSM和入侵检测掌握IDS规则和警报的指南
allway2的博客
08-08 5380
第1章:网络安全监视简介 再次问好!我是托尼·罗宾逊(Tony Robinson),那个您可能会或可能不会怀疑他是否只是在那里写书和提供漫画救济的家伙。最近,我被要求撰写有关如何解释IDS / IPS事件的指南。但是在到达那里之前,我们必须要进行一些基础工作。 在本指南中,我们将介绍什么是网络安全监控,什么是IDS和IPS,如何解释Snort和Suricata的规则,当今最流行的IDS / IPS平台是什么,讨论阅读和分析IDS警报,如何做出判断关于基于支持证据的IDS / IPS警报的有效性,讨论必要
MinIO 环境变量泄漏漏洞(CVE-2023-28432)
最新发布
murphysec的博客
04-04 2366
MinIO 是一个开源的对象存储服务器。 MinIO RELEASE.2023-03-20T20-16-18Z之前版本中的 bootstrap-peer-server.go#VerifyHandler 方法存在敏感信息泄漏漏洞,攻击者可向集群部署中的 MinIO 服务器的 /minio/bootstrap/v1/verify API发送POST请求,从而获取到 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD 等所有环境变量信息,从而以管理员身份登录 MinIO 服务。
Bash 漏洞是什么级别的漏洞,有什么危害,具体如何修复?
01-04 975
昨天收到阿里云的短信通知,让我修复一个漏洞,因此特意在知乎查了一下这个漏洞的情况,一下内容来自知乎,作者吴昊。 (希望 SF 也已经修复了此漏洞) 利用这个漏洞,需要两个条件: 服务器收到请求后,会执行bash 执行bash的时候,会将UserAgent等设置成环境变量 同时满足这两点的,一般是使用CGI的服务器,所以受到影响的服务器份额(我语文不好)不是很大。 对它进行一下简
新手理解的bash环境变量解析漏洞
热门推荐
smstong的成长轨迹
09-26 1万+
以最简单的方式解释bash环境变量解析漏洞的原理。
漏洞利用-FTP漏洞利用
weixin_30437337的博客
07-08 1933
一、环境说明 目标IP: 本人虚拟机 192.168.80.134 ,使用 metasploit2 攻击IP: 本人虚拟机 192.168.80.129 ,使用 kali 二、匿名用户登录 root@kali:~# nc 192.168.80.134 21 USER anonymous331 Please specify the password.PASS 123 #密码任意 HE...
seed-labs 软件部分- 环境变量攻击
u011632676的博客
05-28 700
seed-labs 软件部分- 环境变量攻击环境变量实现攻击环境变量如何访问环境变量进程获取环境变量的方式环境变量在内存中的位置环境变量带来的攻击面通过外部程序进行攻击os x 动态连接器减小攻击面通过程序库攻击通过代码本身的代码进行攻击problems 环境变量实现攻击 环境变量 环境变量是存储在进程中的一系列动态键值,它们可以影响进程的行为。 当shell进程执行一个程序时,如果该程序的完整路径没有给出,shell将从PATH环境变量提供的目录中寻找该程序。 如何访问环境变量 C语言执行时main函数第
bash——profile中添加环境变量的语句
03-22
可以使用以下语句来在bash——profile中添加环境变量: export 变量名=变量值 例如,如果要添加一个名为MY_VAR的环境变量,其值为hello,可以使用以下语句: export MY_VAR=hello

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值