aming 发表于 2014-9-25 14:30:31

注意! Bash爆出严重安全漏洞,使用Linux VPS用户必须立即升级

早上看了下新闻,就看到Linux爆出严重漏洞,比早前的OpenSSL的心跳漏洞还严重,大家得赶快更新。

有关漏洞的报道页面:
英文 http://seclists.org/oss-sec/2014/q3/650
中文 http://soft.zol.com.cn/481/4811459.html
漏洞级别:非常严重

升级也简单,升级命令如下:
CentOS 系列yum update得出以下升级提示:
Dependencies Resolved
=========================================================
Package               Arch                   Version                         Repository             Size
=========================================================
Updating:
bash                     x86_64               4.1.2-15.el6_5.1            updates                905 k

Transaction Summary
=========================================================
Upgrade       1 Package(s)
Total download size: 905 k
Is this ok :
如果你经常系统更新,那么也就只有这个升级提示,输入y 同意就可以升级了。如果你不是经常更新的,那么就会有一大串更新的了。

你不想输入y,直接就同意的话,可以加 -y 参数,即yum update -y升级完后,重启下系统即可。

提醒注意,update 命令就像Windows的更新,包括修补漏洞,也包括升级系统的软件,甚至是内核的升级(就像Windows的SP),所以勤更新总是有好处的。

是否已经打好补丁的检测命令env t='() { :;}; echo You are vulnerable.' bash -c "true"出现提示一则正常,出现二就是还没打好补丁
1、
bash: warning: t: ignoring function definition attempt
bash: error importing function definition for `t'
2、
You are vulnerable.



aming 发表于 2014-9-25 14:34:41

如果用 Debian/Ubuntu 的话,更新命令是apt-get update这里就不再重复了,而且我一直都用 CentOS



hudba 发表于 2014-9-25 14:58:27

升级完需要重启吗?

aming 发表于 2014-9-25 15:11:57

hudba 发表于 2014-9-25 14:58 static/image/common/back.gif
升级完需要重启吗?

本来我也没重启的,更新完后测试也没事了
但后来我看到这个文章:
http://www.oschina.net/news/55576/bourne-again-shell-bash-remote-code-execution-vulnerability
为保险起见,我还是都重启了。毕竟这个漏洞很严重。

michaelr 发表于 2014-9-25 15:22:38

辛苦了,楼主。。。。。。。。。

aming 发表于 2014-9-25 15:23:41

hudba 发表于 2014-9-25 14:58 static/image/common/back.gif
升级完需要重启吗?
不过我留了一台黑户VPS没重启,又留了一台VPS没打补丁,等以后有了0day脚本,去测试玩下 :lol





乐乐 发表于 2014-9-25 15:35:06

aming 发表于 2014-9-25 15:23 static/image/common/back.gif
不过我留了一台黑户VPS没重启,又留了一台VPS没打补丁,等以后有了0day脚本,去测试玩下




忘了这事儿了。。。 全升级了。。。 哈哈哈

hudba 发表于 2014-9-25 16:04:13

本帖最后由 hudba 于 2014-9-25 16:05 编辑

aming 发表于 2014-9-25 15:23 static/image/common/back.gif
不过我留了一台黑户VPS没重启,又留了一台VPS没打补丁,等以后有了0day脚本,去测试玩下



快出个脚本去试试呀。执行任意命令啊。


非常小黑 发表于 2014-9-25 17:13:55

这个漏洞怎么黑?
我vps太多了。。。。会搞死人的

aming 发表于 2014-9-25 19:20:15

非常小黑 发表于 2014-9-25 17:13 static/image/common/back.gif
这个漏洞怎么黑?
我vps太多了。。。。会搞死人的
还好,我只有15个VPS而已,而且大多都是闲置的 :P




gger 发表于 2014-9-25 20:14:24

世界海事日这个广告原来是你的签名啊

hardrock 发表于 2014-9-25 20:29:01

Debian6 为啥修复了,还是You are vulnerable
已经restart,/etc/init.d/ssh restart

hudba 发表于 2014-9-25 20:42:08

hardrock 发表于 2014-9-25 20:29 static/image/common/back.gif
Debian6 为啥修复了,还是You are vulnerable
已经restart,/etc/init.d/ssh restart
命令是:
aptitude update
aptitude upgrade
问你的时候输入:
y回车



hardrock 发表于 2014-9-25 22:08:02

本帖最后由 hardrock 于 2014-9-25 22:13 编辑

hudba 发表于 2014-9-25 20:42 static/image/common/back.gif
命令是:

问你的时候输入:

第一步,
aptitude update
Hit http://security.debian.org squeeze/updates Release.gpg
Ign http://security.debian.org/ squeeze/updates/contrib Translation-en
Ign http://security.debian.org/ squeeze/updates/main Translation-en
Ign http://security.debian.org/ squeeze/updates/non-free Translation-en
Hit http://security.debian.org squeeze/updates Release
Hit http://ftp.debian.org squeeze Release.gpg
Ign http://ftp.debian.org/debian/ squeeze/contrib Translation-en
Ign http://ftp.debian.org/debian/ squeeze/main Translation-en
Ign http://ftp.debian.org/debian/ squeeze/non-free Translation-en
Hit http://security.debian.org squeeze/updates/main i386 Packages
Hit http://security.debian.org squeeze/updates/contrib i386 Packages
Hit http://security.debian.org squeeze/updates/non-free i386 Packages
Hit http://ftp.debian.org squeeze Release      
Hit http://ftp.debian.org squeeze/main i386 Packages
Hit http://ftp.debian.org squeeze/contrib i386 Packages
Hit http://ftp.debian.org squeeze/non-free i386 Packages
第二步,
aptitude upgrade
No packages will be installed, upgraded, or removed.
0 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 0 B of archives. After unpacking 0 B will be used.

没有了,
/etc/init.d/ssh restart
依然是You are vulnerable.




hudba 发表于 2014-9-25 22:30:46

hardrock 发表于 2014-9-25 22:08 static/image/common/back.gif
第一步,
aptitude update
Hit http://security.debian.org squeeze/updates Release.gpg


我也半桶水,d6或许老了,没第一时间更新。毕竟免费的操作系统,得自己多份心。
看看文件时间是否是近期的:
stat /bin/bash


hardrock 发表于 2014-9-25 22:37:05

hudba 发表于 2014-9-25 22:30 static/image/common/back.gif
我也半桶水,d6或许老了,没第一时间更新。毕竟免费的操作系统,得自己多份心。
看看文件时间是否是近期 ...


Access: 2014-09-24 17:20:01.096638163 -0400
Modify: 2010-04-10 08:03:56.000000000 -0400
Change: 2014-02-13 10:18:36.855050979 -0500

hudba 发表于 2014-9-25 23:06:22

hardrock 发表于 2014-9-25 22:37 static/image/common/back.gif
Access: 2014-09-24 17:20:01.096638163 -0400
Modify: 2010-04-10 08:03:56.000000000 -0400
Change: 2 ...

你这个蛮复杂的,d6要修改/etc/apt/sources.list加入一行LTS(long term support),具体看这个:
https://www.debian.org/security/



hudba 发表于 2014-9-26 14:48:58

楼主今天又发现出一个新版了:
Setting up bash (4.2+dfsg-0.1+deb7u3) ...
要更新吗?我刚又做了遍,挺麻烦。cent不知道有没有出。


yrx19912007 发表于 2014-9-26 16:29:42

感谢分享!!!!!!!!!!!!

aming 发表于 2014-9-26 18:14:14

hudba 发表于 2014-9-26 14:48 static/image/common/back.gif
楼主今天又发现出一个新版了:

要更新吗?我刚又做了遍,挺麻烦。cent不知道有没有出。


是的,又更新了。昨天更新后就有人说漏洞没完全补好,不知这次又怎样了。




页: [1] 2
查看完整版本: 注意! Bash爆出严重安全漏洞,使用Linux VPS用户必须立即升级