Bash安全漏洞会影响大量设备和服务【查看原文】

bash ShellShock漏洞的补丁业已发布, 所以所有使用bash作为缺省SHELL的WEB服务器都应该马上更新bash, 杜绝今后再受到由于这一漏洞所引发的攻击.
原先, 有些分析以为这个漏洞的问题只是在于BASH不该执行在涵数定义之后所出现的命令, 但实际上, 包括涵数定义本身也不该被传递到下一个SHELL进程中, 如以下这个例子:
ls=() { rm -rf /; }; echo this is bad command bash -c echo good command; ls -l /tmp
bash ShellShock漏洞的补丁已将这些问题解决了, 所以有关的服务器应该尽快更新.

bash的Shellshock安全漏洞, 对网络的危害比Heartbleed在短期内会更大. 最关键的原因是现有的网页功能实现没有考虑作业级的授权访问, 结果是虽然web服务器的进程已改为非超级用户, 但这个非超级用户现在也能直接访问那些网络应用所需要访问的东西, 包括网络用户的口令数据库. 就是因为这样, 一旦黑客通过HTTP访问能以这个非超级用户在机器上执行任何命令, 这危害就变得对网站功能是无穷大了.
要想在未来能较好地限制这种破坏, 网络应用设计者就应该从应用设计的一开始就把作业授权用在那些需要特殊保护的信息访问上. 例如, 对口令数据库的访问只限于做验证/更新口令的专门程序, 而该程序对口令数据库的访问需要获得授权. 通过这样的安排, 以后即使黑客攻击, 能执行任意程序, 但由于其所依赖的非超级用户无法直接访问口令数据库, 虽能通过前面所提的专门程序访问, 但那只限于对某一特定的用户的口令的验证或更新, 无法获得整个数据库.
为众信息系统软件公司的CaclMgr特别适合用于这个场合: CaclMgr有二个相互独立的授权数据库, 命令集. 其中一个是用于后台非交互作业的, 专门用于对执行功能受限制的程序的授权, 在被授权用户执行该程序时, 无须输入口令验证其身份.
网络的安全有太多未知的风险, 只有能在设计应用时加入这些安全增强, 才能减低未来受到攻击时所受的损失.

bash的Shellshock安全漏洞, 对网络的危害比Heartbleed在短期内会更大. 最关键的原因是现有的网页功能实现没有考虑作业级的授权访问, 结果是虽然web服务器的进程已改为非超级用户, 但这个非超级用户现在也能直接访问那些网络应用所需要访问的东西, 包括网络用户的口令数据库. 就是因为这样, 一旦黑客通过HTTP访问能以这个非超级用户在机器上执行任何命令, 这危害就变得对网站功能是无穷大了.
要想在未来能较好地限制这种破坏, 网络应用设计者就应该从应用设计的一开始就把作业授权用在那些需要特殊保护的信息访问上. 例如, 对口令数据库的访问只限于做验证/更新口令的专门程序, 而该程序对口令数据库的访问需要获得授权. 通过这样的安排, 以后即使黑客攻击, 能执行任意程序, 但由于其所依赖的非超级用户无法直接访问口令数据库, 虽能通过前面所提的专门程序访问, 但那只限于对某一特定的用户的口令的验证或更新, 无法获得整个数据库.
为众信息系统软件公司的CaclMgr特别适合用于这个场合: CaclMgr有二个相互独立的授权数据库, 命令集. 其中一个是用于后台非交互作业的, 专门用于对执行功能受限制的程序的授权, 在被授权用户执行该程序时, 无须输入口令验证其身份.
网络的安全有太多未知的风险, 只有能在设计应用时加入这些安全增强, 才能减低未来受到攻击时所受的损失.