科普:為何Softnext守內(nèi)安的系統(tǒng)無破殼漏洞?

責(zé)任編輯:editor006

2014-10-21 17:34:56

摘自:今晚網(wǎng)

近來不少友商都遭遇了Bash“破殼”漏洞之苦,紛紛被披露漏洞搞得苦不堪言,名譽掃地。4.各種daemon和SUID/privileged的程序都可能執(zhí)行shell腳本,通過用戶設(shè)置或影響環(huán)境變量值,允許任意命令運行。

又到了安全信息防護(hù)科普的時刻了。

近來不少友商都遭遇了Bash“破殼”漏洞之苦,紛紛被披露漏洞搞得苦不堪言,名譽掃地。當(dāng)然,也有不少客戶疑慮著:Softnext的產(chǎn)品是否也有此漏洞?為何Softnext守內(nèi)安的產(chǎn)品免遭此難了呢?

早在今年4月9日,一個代號為“heartbleed”(“心臟出血”)的重大安全漏洞被曝光,它能讓攻擊者從服務(wù)器內(nèi)存中讀取包括用戶名、密碼和信用卡號等隱私信息在內(nèi)的數(shù)據(jù)。

無論是網(wǎng)絡(luò)安全防護(hù)、還是信息安全防護(hù),今年都已經(jīng)越來越被重視了!

可在今年9月24日Bash被公布存在遠(yuǎn)程代碼漏洞,定義為Bash“破殼”漏洞,且該漏洞已達(dá)到高危狀態(tài),我們不得不再一次老生常談,并提醒廣大網(wǎng)站和企業(yè)盡快檢測修復(fù)。

Bourne Again Shell(簡稱BASH)是Linux標(biāo)準(zhǔn)的默認(rèn)shell,也是GNU/Linux上最流行的SHELL,于1980年誕生,經(jīng)過了幾十年的進(jìn)化從一個簡單的終端命令行解釋器演變成了和GNU系統(tǒng)深度整合的多功能接口。

目前已驗證在Red Hat、 CentOS 、Ubuntu 、Fedora 、Amazon Linux 、OS X 10.10中均擁有存在CVE-2014-6271漏洞的Bash版本,同時由于Bash在各主流操作系統(tǒng)的廣泛應(yīng)用,此漏洞的影響范圍包括但不限于大多數(shù)應(yīng)用Bash的Unix、Linux、Mac OS X,針對這些操作系統(tǒng)管理下的數(shù)據(jù)均存在高危威脅。漏洞的利用方式會通過與Bash交互的多種應(yīng)用展開,包括HTTP、OpenSSH、DHCP等。

而恰恰是這樣一個漏洞,令我們不可忽視它帶來的影響:

1.此漏洞可以繞過ForceCommand在sshd中的配置,從而執(zhí)行任意命令;

2.如果CGI腳本用Bash編寫,則使用mod_cgi或mod_cgid的Apache服務(wù)器會受到影響;

3.DHCP客戶端調(diào)用shell腳本來配置系統(tǒng),可能存在允許任意命令執(zhí)行;

4.各種daemon和SUID/privileged的程序都可能執(zhí)行shell腳本,通過用戶設(shè)置或影響環(huán)境變量值,允許任意命令運行。

而Softnext守內(nèi)安的郵件安全系統(tǒng)為什么沒有受到影響呢?

原因是我們使用的是UNIX的FreeBSD,它是眾多BSD UNIX分支中的一個,它繼承了BSD系統(tǒng)的高性能與可靠性,而且它使用的是shell是sh,并不是bash。

sh是Bourne shell 是UNIX標(biāo)準(zhǔn)的默認(rèn)shell,也是 UNIX 系統(tǒng)中最悠久的 shell,所有的UNIX系統(tǒng)都會內(nèi)附這個,shell對它評價是concise簡潔,compact緊湊,fast高效。

我們先來看一個簡單的POC:

1.本地Bash Shell環(huán)境中測試是否有漏洞:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

如果存在漏洞會打印"vulnerable"。

如下顯示:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

vulnerable

this is a test

2.本地sh Shell環(huán)境中測試是否有漏洞:

$ env x='() { :;}; echo vulnerable' sh -c "echo this is a test"

如果存在漏洞會打印"vulnerable"。

如下顯示:

由此可見,Softnext守內(nèi)安的郵件安全系統(tǒng)的可靠性、可用性是值得信賴的!

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號