CentOS 上的 Shellshock
Shellshock,又名 Bashdoor,是在廣泛使用的 Unix Bash 指令殼內的一系列安全性問題(截止本文共有 6 個 CVE),首個問題是在 2014 年 9 月 24 公佈的。很多互聯網上的長駐程式如網頁伺服器,都利用 Bash 來處理部份指令,讓入侵者可透過有漏洞的 Bash 隨意執行任何指令。這樣做會讓入侵者能擅自存取電腦系統。
有關 bash 及 Shellshock 的歷史,請參閱這個紐約時報的報導。
Shellshock 共有 6 個不同的 CVE:
1. 受影響的 CentOS 版本
每個在 2014 年 9 月 31 日前發行的 CentOS 版本都受 Shellshock 問題所影響,這包括 自 1992 年後發行的 Linux 內的每個 Bash 版本,問題是於當時首次被引進 bash 源碼。
此問題在已結束支援的 CentOS 版本不會獲緩解,因此 CentOS-2.1、CentOS-3 及 CentOS-4 都存有漏洞,並且不會獲 CentOS 計劃修正。你不應該採用這些版本,因為這並非它們的首個安全性問題,而它們也不受維護。
截止本文(2014 年 10 月 6 日),每個現行版本的 CentOS(CentOS-5、CentOS-6 及 CentOS-7)在安裝所有已發行的更新後,都能緩解上述的 6 個 shellshock CVE。以下列出了能修正問題的最低 bash 版本:
1.1. CentOS-5
bash-3.2-33.el5_10.4.<架構>.rpm
註:CentOS-5.11 發行版本在 ISO 內收錄了較舊版的 bash,而 updates 目錄內的版本是 bash-3.2-33.el5_11.4.<架構>.rpm。
1.2. CentOS-6
bash-4.1.2-15.el6_5.2.<架構>.rpm
1.3. CentOS-7
bash-4.2.45-5.el7_0.4.<架構>.rpm
* 視乎你所安裝的架構(32 位元、64 位元、等等),上述的 <架構> 欄可以是 x86_64、i386 或 i686。
2. CentOS Linux 上的緩解方案
所有版本的 CentOS Linux 都採用同一緩解機制。請執行以下指令安裝所有更新:
yum upgrade
你可以利用以下指令檢查是否妥當: You can check that you are OK with the command:
rpm -q bash
只要所列出的 bash 版本等於(或高於)上述所列的版本,你所採用的 bash 已含有此頁所列出的 6 個 CVE 的修正。
舉個例說,CentOS-7 機器的輸出如下:
[jhughes@T520 ~]$ rpm -q bash bash-4.2.45-5.el7_0.4.x86_64
由於我已安裝了獲修正的 bash,我不受上述的 shellshock 問題所影響。
3. CentOS Linux 映像的緩解方案
CentOS 的官方映像都擁有日期碼,而任何 CentOS 映像的日期碼是等於或大於 20140926(2014 年 9 月 26 日)都已經安裝了最新版的 bash。
如果你從其他發行者取得映像,檢查是否已修正 shellshock 問題的方法依然是執行以下指令:
rpm -q bash
接著把結果與上述的版本作比較。
你需要聯絡你的映像供應者,以便取得裝有新版本 bash 的較新映像,但在等待新映像的期間,你在不得已時可以從 CentOS 鏡像手動安裝 RPM。
首先測試 yum 是否有可用的更新: yum upgrade bash
要是沒有的話,你可以進到鏡像的根目錄,然後進入 centos/<版本>/updates/<架構> 並下載你的 CentOS Linux 版本所需的 bash 套件。
4. 有關 Shellshock 的延伸閱讀
5. CentOS Announce 郵件列表
所有 CentOS 安全性更新都是通過 CentOS 的 Announce 郵件列表發行的,因此你如果有意知道安全性更新在何時發行,請訂閱該郵件列表,以便即時獲通知。
Translation of revision 5