回到首頁
個人.家庭.數位化 - 數位之牆



產業動態 資安防護震撼彈 - Shellshock
ASRC 垃圾訊息研究中心 本新聞稿發佈於2014/12/07,由發布之企業承擔內容之立場與責任,與本站無關

2014年4月爆發了OpenSSL Heartbleed漏洞,其威脅性在於只要啟動了OpenSSL中Heartbeat這個提高連線效率的擴充程式,就有機會遭到程式自動重覆猜測,以獲取記憶體中的機敏訊息。而2014年9月被發現的Shellshock漏洞,比起Heartbleed則是更加嚴重的,許多Unix-like的伺服器普遍存在這個漏洞,或許在這個漏洞被揭露前即已長期被利用!

 
■ 發布/輪播新聞稿 新聞稿直達14萬電子報訂戶刊登新聞稿:按此
 
2014年4月爆發了OpenSSL Heartbleed漏洞,其威脅性在於只要啟動了OpenSSL中Heartbeat這個提高連線效率的擴充程式,就有機會遭到程式自動重覆猜測,以獲取記憶體中的機敏訊息。而2014年9月被發現的Shellshock漏洞,比起Heartbleed則是更加嚴重的,許多Unix-like的伺服器普遍存在這個漏洞,或許在這個漏洞被揭露前即已長期被利用!

造成Shellshock的漏洞原因,在於bash在輸出環境變數,若存在「() { :;};」這個神奇字串,即可在寫入環境變數時,在其後加入攻擊指令,並在開啟新的子bash shell時,攻擊指令會被執行。
詳細的漏洞原理,請參考ASRC 垃圾訊息研究中心的詳細說明 http://www.asrc-global.com/article_09.html

這個漏洞乍看之下,似乎僅影響登入本機的使用者,可透過此漏洞繞過受限的shell功能;事實上,這個漏洞的影響層面十分廣泛,凡是存在此漏洞的伺服器所使用的程式語言、對外網路服務,只要服務或撰寫的程式語言有呼叫bash指令,就有機會被利用。此漏洞爆發之初,最先大範圍受害的為Web服務,若您為系統管理者,建議您可以檢查各種對外服務的log檔,並搜尋其中是否存在「() { :;};」這個神奇字串,或許您可在其中看到不少的攻擊嘗試。郵件伺服器也存在被攻擊的危險,qmail郵件伺服器就是一例,只要假裝對其發送郵件,並在輸入寄件人資訊時,刻意輸入「() { :;};」,其後便能接上任何的攻擊指令。

多數知名的Unix-like作業系統 (CentOS、Debian、Fedora、Ubuntu、Gentoo在漏洞爆發前的版本) 都已針對此漏洞釋出修補程式,建議您應盡速更新修補此漏洞。若您的系統在更新修補前,已經存在這個漏洞,在您更新修補後,應詳查各種log、暫存檔及自動、定時服務的設定檔…等,確認系統未遭到任何非預期的植入或改寫。除了自行架設的Unix-like系統外,容易被忽略的是外購的現成網路服務設備,比方各種Router與NAS,其作業系統所使用的Shell很可能也是bash,並且所提供的服務也受此漏洞影響,建設您務必速洽這些設備的開發商尋求合宜的修補程序。


※關於ASRC垃圾訊息研究中心:
ASRC垃圾訊息研究中心(Asia Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件發展特徵之研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。更多資訊請參考 www.asrc-global.com 。


- 新聞稿有效日期,至2015/01/07為止


聯絡人 :ASRC
聯絡電話:+886225422526
電子郵件:contact@asrc_global.com

上一篇:協眾國際與LG電子訂立合作備忘錄 建立合作關係互利共贏
下一篇:【集美樂】Pizza炸雞 半價賺很大! 肯德基、必勝客搖就送!



 
搜尋本站


最新科技評論

我在中國工作的日子(十四)阿里巴巴敢給股票 - 2023/07/02

我在中國工作的日子(十三)上億會員怎麼管理 - 2023/06/25

我在中國工作的日子(十二)最好的公司支付寶 - 2023/06/18

我在中國工作的日子(十一)兩個女人一個男人 - 2023/06/11

我在中國工作的日子(十)千團大戰影音帶貨 - 2023/06/04

我在中國工作的日子(九)電視購物轉型電商 - 2023/05/28

我在中國工作的日子(八)那些從台灣來的人 - 2023/05/21

我在中國工作的日子(七)嘉丰資本擦身而過 - 2023/05/14

我在中國工作的日子(六)跟阿福有關的人們 - 2023/05/07

■ 訂閱每日更新產業動態
RSS
RSS

當月產業動態

Information

 

 


個人.家庭.數位化 - 數位之牆

欲引用本站圖文,請先取得授權。本站保留一切權利 ©Copyright 2023, DigitalWall.COM. All Rights Reserved.
Question ? Please mail to service@digitalwall.com

歡迎與本站連結!