GNU Bash存在高風險CVE-2014-6271與CVE-2014-7169 (ShellShock)弱點

System Network Manager Group (SNMG) Post
----------------------------------------------------------------------------
--
教育機構ANA通報平台
發佈編號
發佈時間
事故類型 ANA-漏洞預警
發現時間 2014-09-26 00:00:00
影響等級

[
主旨說明:]【漏洞預警】GNU Bash存在高風險CVE-2014-6271CVE-2014-7169
(ShellShock)
弱點

[
內容說明:]
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2014-0020

近期美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號
CVE-2014-6271
CVE-2014-7169 (ShellShock),弱點可利用GNU Bash的環境變數執行
未經授權的任意指令。攻擊者可透過弱點主機上之網路服務,如web server,發送HTTP
request
CGI script,將惡意指令傳送至Bash,進而使系統自動執行攻擊者所設計的
惡意指令。

為確保平台安全性,請各機關確認所屬系統GNU Bash版本並儘速修補漏洞,以防止遭受
相關攻擊。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[
影響平台:]

作業系統(如:LinuxUnixMac OSUnix-like
(
包含RouterFirewallIPSIDSAndroid iOS))所使用GNU Bash之版本如下:

gnu:bash:1.14.0
gnu:bash:1.14.1gnu:bash:1.14.2gnu:bash:1.14.3
gnu:bash:1.14.4
gnu:bash:1.14.5gnu:bash:1.14.6gnu:bash:1.14.7
gnu:bash:2.0
gnu:bash:2.01gnu:bash:2.01.1gnu:bash:2.02
gnu:bash:2.02.1
gnu:bash:2.03gnu:bash:2.04gnu:bash:2.05gnu:bash:2.05:
a
gnu:bash:2.05:bgnu:bash:3.0gnu:bash:3.0.16gnu:bash:3.1gnu:bash:3.
2
gnu:bash:3.2.48gnu:bash:4.0gnu:bash:4.0:rc1gnu:bash:4.1
gnu:bash:4.2
gnu:bash:4.3

[
建議措施:]

1.
建議參考以下方式確認系統GNU Bash版本與安全性:
[
方式1]確認GNU Bash版本
利用bash --version檢視GNU Bash 版本是否為上述影響範圍內。

[
方式2]透過檢測指令確認系統是否存有弱點
CVE-2014-6271
弱點檢測指令:
開啟shell 執行下列指令(請注意空白需正確輸入)
env x=() { :;}; echo vulnerable bash -c echo this is a test
若出現以下字串代表該主機存在該漏洞
vulnerable
this is a test

CVE-2014-7169
弱點檢測指令:目前尚無有效檢測指令

2.
如以上述方式檢測確認系統存有ShellShock弱點,請盡速至系統官方網站更新Bash
本。

3.
處理機敏公務之設備,應考量實體隔離原則。

4.
若後續有任何弱點更新訊息,將另發更新警訊。

[
參考資料:]

1.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
2.
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
3.
http://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html
4.
http://www.securityfocus.com/bid/70103
5.
https://discussions.apple.com/thread/6558974
6.
http://www.ubuntu.com/usn/usn-2362-1/
7.
http://lists.centos.org/pipermail/centos/2014-September/146099.html
8.
https://lists.debian.org/debian-security-announce/2014/msg00220.html

如果您對此通告的內容有疑問或有關於此事件的建議,請勿直接回覆此信件,請以下述
聯絡資訊與我們連絡。國家資通安全會報 技術服務中心 (http://www.icst.org.tw/)
址: 台北市富陽街116
聯絡電話: 02-27339922
傳真電話: 02-27331655
電子郵件信箱: service@icst.org.tw