注意！ Bash爆出严重安全漏洞，使用Linux VPS用户必须立即升级

aming

早上看了下新闻，就看到Linux爆出严重漏洞，比早前的OpenSSL的心跳漏洞还严重，大家得赶快更新。

有关漏洞的报道页面：
英文 http://seclists.org/oss-sec/2014/q3/650
中文 http://soft.zol.com.cn/481/4811459.html
漏洞级别:非常严重

升级也简单，升级命令如下：
CentOS 系列

1. yum update

复制代码

得出以下升级提示：

Dependencies Resolved
=========================================================
Package                 Arch                   Version                         Repository             Size
=========================================================
Updating:
bash                     x86_64               4.1.2-15.el6_5.1              updates                905 k

Transaction Summary
=========================================================
Upgrade       1 Package(s)
Total download size: 905 k
Is this ok [y/N]:

如果你经常系统更新，那么也就只有这个升级提示，输入y 同意就可以升级了。如果你不是经常更新的，那么就会有一大串更新的了。

你不想输入y，直接就同意的话，可以加 -y 参数，即

1. yum update -y

复制代码

升级完后，重启下系统即可。

提醒注意，update 命令就像Windows的更新，包括修补漏洞，也包括升级系统的软件，甚至是内核的升级（就像Windows的SP），所以勤更新总是有好处的。

是否已经打好补丁的检测命令

1. env t='() { :;}; echo You are vulnerable.' bash -c "true"

复制代码

出现提示一则正常，出现二就是还没打好补丁
1、

bash: warning: t: ignoring function definition attempt
bash: error importing function definition for `t'

2、

You are vulnerable.

aming

如果用 Debian/Ubuntu 的话，更新命令是

1. apt-get update

复制代码

这里就不再重复了，而且我一直都用 CentOS

hudba

升级完需要重启吗？

aming

hudba 发表于 2014-9-25 14:58
升级完需要重启吗？

本来我也没重启的，更新完后测试也没事了
但后来我看到这个文章：
http://www.oschina.net/news/5557 ... ution-vulnerability
为保险起见，我还是都重启了。毕竟这个漏洞很严重。

michaelr

辛苦了，楼主。。。。。。。。。

aming

hudba 发表于 2014-9-25 14:58
升级完需要重启吗？

不过我留了一台黑户VPS没重启，又留了一台VPS没打补丁，等以后有了0day脚本，去测试玩下

乐乐

aming 发表于 2014-9-25 15:23
不过我留了一台黑户VPS没重启，又留了一台VPS没打补丁，等以后有了0day脚本，去测试玩下

忘了这事儿了。。。 全升级了。。。 哈哈哈

hudba

aming 发表于 2014-9-25 15:23
不过我留了一台黑户VPS没重启，又留了一台VPS没打补丁，等以后有了0day脚本，去测试玩下

快出个脚本去试试呀。执行任意命令啊。

非常小黑

这个漏洞怎么黑？
我vps太多了。。。。会搞死人的

aming

非常小黑 发表于 2014-9-25 17:13
这个漏洞怎么黑？
我vps太多了。。。。会搞死人的

还好，我只有15个VPS而已，而且大多都是闲置的

gger

世界海事日这个广告原来是你的签名啊

hardrock

Debian6 为啥修复了，还是You are vulnerable
已经restart  ,  /etc/init.d/ssh restart

hudba

hardrock 发表于 2014-9-25 20:29
Debian6 为啥修复了，还是You are vulnerable
已经restart  ,  /etc/init.d/ssh restart

命令是：
[mw_shl_code=bash,true]aptitude update
aptitude upgrade[/mw_shl_code]
问你的时候输入：
y回车

hardrock

hudba 发表于 2014-9-25 20:42
命令是：

问你的时候输入：

第一步，
aptitude update
Hit http://security.debian.org squeeze/updates Release.gpg
Ign http://security.debian.org/ squeeze/updates/contrib Translation-en
Ign http://security.debian.org/ squeeze/updates/main Translation-en
Ign http://security.debian.org/ squeeze/updates/non-free Translation-en
Hit http://security.debian.org squeeze/updates Release
Hit http://ftp.debian.org squeeze Release.gpg  
Ign http://ftp.debian.org/debian/ squeeze/contrib Translation-en
Ign http://ftp.debian.org/debian/ squeeze/main Translation-en
Ign http://ftp.debian.org/debian/ squeeze/non-free Translation-en
Hit http://security.debian.org squeeze/updates/main i386 Packages
Hit http://security.debian.org squeeze/updates/contrib i386 Packages
Hit http://security.debian.org squeeze/updates/non-free i386 Packages
Hit http://ftp.debian.org squeeze Release      
Hit http://ftp.debian.org squeeze/main i386 Packages
Hit http://ftp.debian.org squeeze/contrib i386 Packages
Hit http://ftp.debian.org squeeze/non-free i386 Packages
第二步，
aptitude upgrade
No packages will be installed, upgraded, or removed.
0 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 0 B of archives. After unpacking 0 B will be used.

没有了，
/etc/init.d/ssh restart
依然是You are vulnerable.

hudba

hardrock 发表于 2014-9-25 22:08
第一步，
aptitude update
Hit http://security.debian.org squeeze/updates Release.gpg

我也半桶水，d6或许老了，没第一时间更新。毕竟免费的操作系统，得自己多份心。
看看文件时间是否是近期的：
[mw_shl_code=bash,true] stat /bin/bash[/mw_shl_code]

hardrock

hudba 发表于 2014-9-25 22:30
我也半桶水，d6或许老了，没第一时间更新。毕竟免费的操作系统，得自己多份心。
看看文件时间是否是近期 ...

Access: 2014-09-24 17:20:01.096638163 -0400
Modify: 2010-04-10 08:03:56.000000000 -0400
Change: 2014-02-13 10:18:36.855050979 -0500

hudba

hardrock 发表于 2014-9-25 22:37
Access: 2014-09-24 17:20:01.096638163 -0400
Modify: 2010-04-10 08:03:56.000000000 -0400
Change: 2 ...

你这个蛮复杂的，d6要修改/etc/apt/sources.list加入一行LTS（long term support），具体看这个：

https://www.debian.org/security/

hudba

楼主今天又发现出一个新版了：

Setting up bash (4.2+dfsg-0.1+deb7u3) ...

要更新吗？我刚又做了遍，挺麻烦。cent不知道有没有出。

yrx19912007

感谢分享！！！！！！！！！！！！

aming

hudba 发表于 2014-9-26 14:48
楼主今天又发现出一个新版了：

要更新吗？我刚又做了遍，挺麻烦。cent不知道有没有出。

是的，又更新了。昨天更新后就有人说漏洞没完全补好，不知这次又怎样了。

xinyf88

谢谢楼主提醒，赶紧更新去

mulao

这个漏洞触发条件挺苛刻的
不用特别去注意
不过，有事没事升级都没错