记得半年前的“心脏流血”么?现在来了 Bash,更可怕_智能_好奇心日报

夏雨青2014-09-26 00:28:20

美国国土安全局和红帽公司共同发出警告:Bash 漏洞来了,它可能比“心脏流血”更可怕。加州大学伯克利分校 ICSI 的研究员 Nicholoas Weaver 评价:“它隐蔽,丑陋,而且会陪伴我们许多年。”

昨天,美国国土安全局计算机应急响应小组 (US-CERT) 发布了一则警告,漏洞 Shell Shock(又被称为 Bash Bug)可能严重威胁计算机安全。

这个漏洞波及了所有 *nix 系统,你可能没听过这个词,但你平时一定在用它们。从 Mac OS X 系统、Android 手机到很多公用设施背后的操作系统,都属于 *nix。就算你是一位彻底的 Windows 用户,也免不了登录使用 Linux 服务器的网站。

Shell Shock 存在了 22 年之久,可以追溯到 1.14 版本的 GNU Bash。漏洞允许攻击者远程在终端内执行代码。Apache 服务器、路由终端和物联网设备都可能受到影响。

这个漏洞由 Stephane Chazelas 首先发现,开源系统红帽公司随后在官方博客上回应并证实了这件事。紧接着,US-CERT 给这个漏洞的危险程度打了最高的 10 分(非常危险),破解难度被评为“低”。

这个漏洞又被称为“Bash”漏洞,源于它利用的是 Linux 和 Unix 系统里广泛使用的 Bash shell。Bash 是很多开源系统里默认的命令行终端。

安全公司 Errata Security 的 Robert Graham 在博客里写到,“Bash Bug 与 ‘Heartbleed 心脏流血’ 一样严重……第一个原因是它与软件交互的方式让人措手不及。” 与著名的 OpenSSL Heartbleed(心脏流血) 漏洞相似的是,它们波及的范围之大,很难估计具体有多少软件和硬件会受到影响。

他补充道,“第二个原因是尽管很多系统打上了补丁,还有一些不知名的系统没有补丁。像是摄像头之类的物联网设备尤其容易被攻击,因为很多这类设备的软件是由基于网页端的 bash 脚本实现的。”这类设备的漏洞利用价值更大,却更难被打上补丁。

所以这件事对非 Linux 用户的影响是?你不需要像某些媒体建议的那样,关上电脑几个月等危机过去。目前大部分厂商都已经发布了升级补丁,很多厂商都在紧急下线维护他们的 Linux 服务器。

Robert Graham 说,“任何查到 bash 漏洞的估计都是一台需要打补丁的老设备。既然它们中的大多数都不能打补丁,你很有可能完蛋了。” 加州大学伯克利分校 ICSI 的研究员 Nicholoas Weaver 则评价:“它隐蔽,丑陋,而且会陪伴我们许多年。”

喜欢这篇文章?去 App 商店搜 好奇心日报 ,每天看点不一样的。