产品服务AMH 免费服务器主机面板SSL证书 免费SSL证书申请 担保单 免费安全、零费率交易平台编程助手免费智能写代码、翻译AMYSQL 免费MySQL管理工具

AMH 社区首页

 AMH社区 - 开放自由有价值的社区

[求助帖] 关于bash漏洞(最新补丁CVE-2014-7169)

amysql
创始人
99530.81 价值分

amysql 发表于 2014-09-26 15:02:44
漏洞测试执行
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
如显示vulnerable即说明存在bash漏洞。


漏洞解析
上面是初始一x函数。函数体为空。接着执行echo出vulnerable字符串。
后面的语句同时被执行了,这说明初始变量时同时可能会被利用执行其它命令。


AMH环境是否受影响
有用户比较关心bash漏洞的问题,AMH 的环境是否受影响。
回答是AMH的环境是没什么影响的。
AMH的nginx环境只是解析php脚本交给php-fpm运行,无cgi脚本支持。
AMH的apache环境PHP同样是proxy到php-fpm运行,并不使用mod_cgi或mod_cgid模块。
另外在未打补丁情况,这边测试bash漏洞也并未能提权至root。
AMH的环境web服务器都是使用www用户,未能提权所以被利用也很受局限,
另外AMH也有amchroot模块,不可跨目录执行其它命令。


修复漏洞
虽然AMH环境没什么影响,不过都建议修复。
今天redhat也提供了最新补丁(CVE-2014-7169)
建议更新,避免被其它方面利用。

Centos/Redhat系的系统更新bash
yum update bash

Ubuntu/Debina系的系统更新bash
apt-get update
apt-get install bash



2014-09-26 15:02:44 1

AMH面板 - 好用高效低占用、安全可靠极稳定

dianjiyi
铜牌会员
863.67 价值分

嗯,必须得修复
  支持 (0分)  反对 (0分)
回复  2014-09-26 15:05:21 2

x2012qq
银牌会员
2200.74 价值分

谢谢:lol 支持
  支持 (0分)  反对 (0分)
回复  2014-09-26 21:21:24 3

72135
金牌会员
5476.50 价值分

中枪 支持 支持
  支持 (0分)  反对 (0分)
回复  2014-09-26 23:01:05 4
 1  (总1页)
AMH社区列表
用户服务中心