Unix /Linux 的Bash Shell 出現重大漏洞,危險等級可能超越 Heartbleed
"該漏洞可能讓駭客遠端執行惡意程式,影響GNU、Linux及Mac OS等基於UNIX的各種作業系統。有資安業者認為,此一被稱為Shell Shock的漏洞影響程度可能與Heartbleed相當,甚至更甚於Heartbleed。"
http://www.ithome.com.tw/news/91107
由於server還沒換新系統 (好懶 XD)
不過還是更新一下bash好了 orz....
檢查的語法:
env x='() { :;}; echo XD' bash -c "echo This is a test code"
更新前打上面那串指令, 會出現
XD This is a test code
更新後打同樣指令, 就只看到
This is a test code
FC4的更新步驟如下:
* 安裝bison (之後make bash source code會用到yacc, 這個在bison套件裡面)
- yum install bison
* 下載相對應的bash source code 與 patch (我是先建立一個資料夾來放檔案)
- mkdir update_bash
- cd update_bash/
- wget https://ftp.gnu.org/gnu/bash/bash-3.1.tar.gz
- tar zxvf bash-3.1.tar.gz
- nano patch_all.sh (新增一個sh檔, 內容如下方粗體字)
for i in $(seq -f "%03g" 1 23);
do
echo "Getting ... http://ftp.gnu.org/gnu/bash/bash-3.1-patches/bash31-$i";
curl "http://ftp.gnu.org/gnu/bash/bash-3.1-patches/bash31-$i" | patch -p0 ;
done
- cd bash-3.1
- sh ../patch_all.sh
- 之後patch完, 就 ./configure, make, make install
這樣應該就好了 XD
ref:
http://blog.miniasp.com/post/2014/10/01/Recompile-Bash-to-avoid-specially-crafted-environment-variables-code-injection-attack.aspx