CentOS 上的 Shellshock
Shellshock,又名 Bashdoor,是在广泛使用的 Unix Bash 指令壳内的一系列安全性问题(截止本文共有 6 个 CVE),首个问题是在 2014 年 9 月 24 公布的。很多互联网上的长驻程序如网页服务器,都利用 Bash 来处理部份指令,让入侵者可通过有漏洞的 Bash 随意执行任何指令。这样做会让入侵者能擅自访问计算机系统。
有关 bash 及 Shellshock 的历史,请参阅这个纽约时报的报导。
Shellshock 共有 6 个不同的 CVE:
1. 受影响的 CentOS 版本
每个在 2014 年 9 月 31 日前发行的 CentOS 版本都受 Shellshock 问题所影响,这包括 自 1992 年后发行的 Linux 内的每个 Bash 版本,问题是于当时首次被引进 bash 源码。
此问题在已结束支持的 CentOS 版本不会获缓解,因此 CentOS-2.1、CentOS-3 及 CentOS-4 都存有漏洞,并且不会获 CentOS 计划修正。你不应该采用这些版本,因为这并非它们的首个安全性问题,而它们也不受维护。
截止本文(2014 年 10 月 6 日),每个活动版本的 CentOS(CentOS-5、CentOS-6 及 CentOS-7)在安装所有已发行的更新后,都能缓解上述的 6 个 shellshock CVE。以下列出了能修正问题的最低 bash 版本:
1.1. CentOS-5
bash-3.2-33.el5_10.4.<结构>.rpm
注:CentOS-5.11 发行版本在 ISO 内收录了较旧版的 bash,而 updates 目录内的版本是 bash-3.2-33.el5_11.4.<结构>.rpm。
1.2. CentOS-6
bash-4.1.2-15.el6_5.2.<结构>.rpm
1.3. CentOS-7
bash-4.2.45-5.el7_0.4.<结构>.rpm
* 视乎你所安装的结构(32 位元、64 位元、等等),上述的 <结构> 栏可以是 x86_64、i386 或 i686。
2. CentOS Linux 上的缓解方案
所有版本的 CentOS Linux 都采用同一缓解机制。请执行以下指令安装所有更新:
yum upgrade
你可以利用以下指令检查是否妥当: You can check that you are OK with the command:
rpm -q bash
只要所列出的 bash 版本等于(或高于)上述所列的版本,你所采用的 bash 已含有此页所列出的 6 个 CVE 的修正。
举个例说,CentOS-7 机器的输出如下:
[jhughes@T520 ~]$ rpm -q bash bash-4.2.45-5.el7_0.4.x86_64
由于我已安装了获修正的 bash,我不受上述的 shellshock 问题所影响。
3. CentOS Linux 映像的缓解方案
CentOS 的官方映像都拥有日期码,而任何 CentOS 映像的日期码是等于或大于 20140926(2014 年 9 月 26 日)都已经安装了最新版的 bash。
如果你从其它发行者取得映像,检查是否已修正 shellshock 问题的方法依然是执行以下指令:
rpm -q bash
接著把结果与上述的版本作比较。
你需要联络你的映像供应者,以便取得装有新版本 bash 的较新映像,但在等待新映像的期间,你在不得已时可以从 CentOS 镜像手动安装 RPM。
首先测试 yum 是否有可用的更新: yum upgrade bash
要是没有的话,你可以进到镜像的根目录,然后进入 centos/<版本>/updates/<结构> 并下载你的 CentOS Linux 版本所需的 bash 组件。
4. 有关 Shellshock 的扩展阅读
5. CentOS Announce 邮件列表
所有 CentOS 安全性更新都是通过 CentOS 的 Announce 邮件列表发行的,因此你如果有意知道安全性更新在何时发行,请订阅该邮件列表,以便即时获通知。
Translation of revision 5