安全公告编号:CNTA-2014-0026
9月25日,CNVD收录了GNU Bash远程代码执行漏洞(CNVD-2014-06345,对应CVE-2014-6271),官方同步提供了GNU Bash的修复补丁。9月25日晚,安全人员研究发现其提供的补丁程序并未完全修复漏洞,相关安全机制可被绕过,对互联网上应用GNU Bash的大量服务器构成远程控制威胁。
一、漏洞情况分析
GNU Bash(Bourne again shell)是一个命令语言解释器,能够从标准输入设备或文件读取、执行命令,结合了部分ksh 和csh特点,同时也执行IEEEPOSIX Shell(IEEE Working Group 1003.2)规范,广泛运行于大多数类Unix系统的操作系统之上,包括Linux与Mac OS X v10.4都将它作为默认shell。
CNVD组织完成的多个测试实例表明,GNU Bash 4.3及其之前版本均存在远程命令执行漏洞,该漏洞起因于Bash(Bourne Again SHell)的ENV指令,通过对bash源代码进一步分析得出,ENV本身并不是任意指令执行,真正导致命令任意执行的原因是BASH没有对传入的参数进行正确的边界检查,导致数据和代码的混杂,产生了和PHPEVAL Code InJection类似的漏洞。从bash变量解析文件中查看ENV中进行的临时环境变量设置,得出漏洞是由于initialize_shell_variables函数对外部发送的数据进行错误信任判断而执行代码所致,允许攻击者构造包含代码的值创建环境变量,执行任意代码。目前为止,发现通过HTTP请求CGI脚本是主要的攻击途径。CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞会影响目前主流的操作系统平台,包括但不限于Redhat、CentOS、Ubuntu、Debian、Fedora、Amazon Linux 、OS X 10.10等平台,由于抽样验证当前出厂预装的Andriod操作系统暂不支持ENV命令,因此,可推测针对Andriod操作系统受影响的可能性较小。该漏洞还可能会影响到使用ForceCommand功能的OpenSSH sshd、使用mod_cgi或mod_cgid的Apache服务器、DHCP客户端、其他使用bash作为解释器的应用等。受该漏洞影响的版本包括:Gnu bash1.14.0-1.14.7、Gnu bash 2.0-2.05、Gnu bash 3.0-3.2.48、Gnu bash 4.0-4.3。部分主要漏洞影响平台及版本如下所示:
操作系统 |
版本 |
解决方案 |
Red Hat Enterprise Linux |
4 (ELS) |
Red Hat Enterprise Linux 4 Extended Lifecycle Support - bash-3.0-27.el4.2 |
5 |
Red Hat Enterprise Linux 5 - bash-3.2-33.el5.1
Red Hat Enterprise Linux 5.6 Long Life - bash-3.2-24.el5_6.1
Red Hat Enterprise Linux 5.9 Extended Update Support - bash-3.2-32.el5_9.2 |
6 |
Red Hat Enterprise Linux 6 - bash-4.1.2-15.el6_5.1
Red Hat Enterprise Linux 6.2 Advanced Update Support - bash-4.1.2-9.el6_2.1
Red Hat Enterprise Linux 6.4 Extended Update Support - bash-4.1.2-15.el6_4.1 |
7 |
Red Hat Enterprise Linux 7 - bash-4.2.45-5.el7_0.2 |
CentOS |
5 |
ash-3.2-33.el5.1 |
6 |
ash-4.1.2-15.el6_5.1 |
7 |
ash-4.2.45-5.el7_0.2 |
Ubuntu |
10.04 |
ash 4.1-2ubuntu3.1 |
12.04 |
ash 4.2-2ubuntu2.2 |
14.04 |
ash 4.3-7ubuntu1.1 |
Fedora |
19 |
ash-4.2.47-2.fc19 |
20 |
ash-4.2.47-4.fc20 |
21 |
ash-4.3.22-3.fc21 |
Debian |
4.1-3 |
4.1-3+deb6u1 |
4.2+dfsg-0.1 |
4.2+dfsg-0.1+deb7u1 |
4.3-9 |
4.3-9.1 |
Amazon Linux AMI |
|
ash-4.1.2-15.19 |
Mac OS X |
10.10 |
|
目前互联网上已经出现了针对该漏洞的POC和检测代码,虽有部分系统已经给出了补丁,但因漏洞修补时效性及范围之大,且还存在一些没有发布补丁的问题,预计在近期针对该漏洞的攻击将呈现上升趋势,对网站服务提供商以及用户造成的危害将会进一步扩大。
三、漏洞处置建议
建议相关用户更新bash源码,针对ENV命令实现部分,进行边界检查与参数过滤。严格界定函数定义范围,并做合法化的参数的判断。同时请广大用户及时关注厂商官网及时下载更新:
http://www.gnu.org/software/bash/
注:CNVD成员单位安天实验室、恒安嘉新、绿盟科技公司提供了漏洞分析文档及部分研判支持。
参考链接:
http://www.securityfocus.com/bid/70103
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271