注意！ Bash爆出严重安全漏洞，使用Linux VPS用户必须立即升级

aming · 发表于 2014-9-25 14:30:31

早上看了下新闻，就看到Linux爆出严重漏洞，比早前的OpenSSL的心跳漏洞还严重，大家得赶快更新。

有关漏洞的报道页面：
英文 http://seclists.org/oss-sec/2014/q3/650
中文 http://soft.zol.com.cn/481/4811459.html
漏洞级别:非常严重

升级也简单，升级命令如下：
CentOS 系列

yum update

复制代码

得出以下升级提示：

Dependencies Resolved
=========================================================
Package                Arch                Version                      Repository          Size
=========================================================
Updating:
bash                   x86_64             4.1.2-15.el6_5.1             updates             905 k

Transaction Summary
=========================================================
Upgrade    1 Package(s)
Total download size: 905 k
Is this ok [y/N]:

如果你经常系统更新，那么也就只有这个升级提示，输入y 同意就可以升级了。如果你不是经常更新的，那么就会有一大串更新的了。

你不想输入y，直接就同意的话，可以加 -y 参数，即

yum update -y

复制代码

升级完后，重启下系统即可。

提醒注意，update 命令就像Windows的更新，包括修补漏洞，也包括升级系统的软件，甚至是内核的升级（就像Windows的SP），所以勤更新总是有好处的。

是否已经打好补丁的检测命令

env t='() { :;}; echo You are vulnerable.' bash -c "true"

复制代码

出现提示一则正常，出现二就是还没打好补丁
1、

bash: warning: t: ignoring function definition attempt
bash: error importing function definition for `t'

2、

You are vulnerable.

aming · 发表于 2014-9-25 14:34:41

如果用 Debian/Ubuntu 的话，更新命令是

apt-get update

复制代码

这里就不再重复了，而且我一直都用 CentOS

hudba · 发表于 2014-9-25 14:58:27

升级完需要重启吗？

aming · 发表于 2014-9-25 15:11:57

hudba 发表于 2014-9-25 14:58

登录/注册后可看大图

升级完需要重启吗？

本来我也没重启的，更新完后测试也没事了
但后来我看到这个文章：
http://www.oschina.net/news/5557 ... ution-vulnerability
为保险起见，我还是都重启了。毕竟这个漏洞很严重。

michaelr · 发表于 2014-9-25 15:22:38

辛苦了，楼主。。。。。。。。。

aming · 发表于 2014-9-25 15:23:41

hudba 发表于 2014-9-25 14:58

登录/注册后可看大图

升级完需要重启吗？

不过我留了一台黑户VPS没重启，又留了一台VPS没打补丁，等以后有了0day脚本，去测试玩下

乐乐 · 发表于 2014-9-25 15:35:06

aming 发表于 2014-9-25 15:23

登录/注册后可看大图

不过我留了一台黑户VPS没重启，又留了一台VPS没打补丁，等以后有了0day脚本，去测试玩下

忘了这事儿了。。。全升级了。。。哈哈哈

hudba · 发表于 2014-9-25 16:04:13

本帖最后由 hudba 于 2014-9-25 16:05 编辑

aming 发表于 2014-9-25 15:23

登录/注册后可看大图

不过我留了一台黑户VPS没重启，又留了一台VPS没打补丁，等以后有了0day脚本，去测试玩下

快出个脚本去试试呀。执行任意命令啊。

非常小黑 · 发表于 2014-9-25 17:13:55

这个漏洞怎么黑？
我vps太多了。。。。会搞死人的

aming · 发表于 2014-9-25 19:20:15

非常小黑发表于 2014-9-25 17:13

登录/注册后可看大图

这个漏洞怎么黑？
我vps太多了。。。。会搞死人的

还好，我只有15个VPS而已，而且大多都是闲置的

gger · 发表于 2014-9-25 20:14:24

世界海事日这个广告原来是你的签名啊

hardrock · 发表于 2014-9-25 20:29:01

Debian6 为啥修复了，还是You are vulnerable
已经restart , /etc/init.d/ssh restart

hudba · 发表于 2014-9-25 20:42:08

hardrock 发表于 2014-9-25 20:29

登录/注册后可看大图

Debian6 为啥修复了，还是You are vulnerable
已经restart , /etc/init.d/ssh restart

命令是：
[mw_shl_code=bash,true]aptitude update
aptitude upgrade[/mw_shl_code]
问你的时候输入：
y回车

hardrock · 发表于 2014-9-25 22:08:02

本帖最后由 hardrock 于 2014-9-25 22:13 编辑

hudba 发表于 2014-9-25 20:42

登录/注册后可看大图

命令是：

问你的时候输入：

第一步，
aptitude update
Hit http://security.debian.org squeeze/updates Release.gpg
Ign http://security.debian.org/ squeeze/updates/contrib Translation-en
Ign http://security.debian.org/ squeeze/updates/main Translation-en
Ign http://security.debian.org/ squeeze/updates/non-free Translation-en
Hit http://security.debian.org squeeze/updates Release
Hit http://ftp.debian.org squeeze Release.gpg
Ign http://ftp.debian.org/debian/ squeeze/contrib Translation-en
Ign http://ftp.debian.org/debian/ squeeze/main Translation-en
Ign http://ftp.debian.org/debian/ squeeze/non-free Translation-en
Hit http://security.debian.org squeeze/updates/main i386 Packages
Hit http://security.debian.org squeeze/updates/contrib i386 Packages
Hit http://security.debian.org squeeze/updates/non-free i386 Packages
Hit http://ftp.debian.org squeeze Release
Hit http://ftp.debian.org squeeze/main i386 Packages
Hit http://ftp.debian.org squeeze/contrib i386 Packages
Hit http://ftp.debian.org squeeze/non-free i386 Packages
第二步，
aptitude upgrade
No packages will be installed, upgraded, or removed.
0 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 0 B of archives. After unpacking 0 B will be used.

没有了，
/etc/init.d/ssh restart
依然是You are vulnerable.

hudba · 发表于 2014-9-25 22:30:46

hardrock 发表于 2014-9-25 22:08

登录/注册后可看大图

第一步，
aptitude update
Hit http://security.debian.org squeeze/updates Release.gpg

我也半桶水，d6或许老了，没第一时间更新。毕竟免费的操作系统，得自己多份心。
看看文件时间是否是近期的：
[mw_shl_code=bash,true] stat /bin/bash[/mw_shl_code]

hardrock · 发表于 2014-9-25 22:37:05

hudba 发表于 2014-9-25 22:30

登录/注册后可看大图

我也半桶水，d6或许老了，没第一时间更新。毕竟免费的操作系统，得自己多份心。
看看文件时间是否是近期 ...

Access: 2014-09-24 17:20:01.096638163 -0400
Modify: 2010-04-10 08:03:56.000000000 -0400
Change: 2014-02-13 10:18:36.855050979 -0500

hudba · 发表于 2014-9-25 23:06:22

hardrock 发表于 2014-9-25 22:37

登录/注册后可看大图

Access: 2014-09-24 17:20:01.096638163 -0400
Modify: 2010-04-10 08:03:56.000000000 -0400
Change: 2 ...

你这个蛮复杂的，d6要修改/etc/apt/sources.list加入一行LTS（long term support），具体看这个：

https://www.debian.org/security/

hudba · 发表于 2014-9-26 14:48:58

楼主今天又发现出一个新版了：

Setting up bash (4.2+dfsg-0.1+deb7u3) ...

要更新吗？我刚又做了遍，挺麻烦。cent不知道有没有出。

yrx19912007 · 发表于 2014-9-26 16:29:42

感谢分享！！！！！！！！！！！！

aming · 发表于 2014-9-26 18:14:14

hudba 发表于 2014-9-26 14:48

登录/注册后可看大图

楼主今天又发现出一个新版了：

要更新吗？我刚又做了遍，挺麻烦。cent不知道有没有出。

是的，又更新了。昨天更新后就有人说漏洞没完全补好，不知这次又怎样了。

		自动登录	找回密码
密码			免费注册

注意！ Bash爆出严重安全漏洞，使用Linux VPS用户必须立即升级

评分