无忧论坛

标题: 这次有几家政府网站会关闭？ [打印本页]

作者: 从来没有救世主 时间: 2014-9-26 20:44
标题: 这次有几家政府网站会关闭？
本帖最后由从来没有救世主于 2014-9-26 22:05 编辑

一个被指比“心脏出血”还要严重的Linux安全漏洞被发现，那就是ShellShock: CVE-2014-6271漏洞，可以让攻击者远程执行任意命令，完全控制您的服务器，比“心脏出血”更低的操作门槛，让它比前者更加危险。

昨日，各大IT公司相继忙碌于抓捕臭虫「CVE-2014-7169」和「CVE-2014-6271」。

Bash允許輸出Shell功能函數到其他bash程序。這是透過建立有功能函數定義的環境變數來做到。例如：

env ENV_VAR_FN=’() { <your function> };’

ENV_VAR_FN就是會被輸出到任何後起bash程序的功能函數。這看起來是個有用的功能，對吧？但在Bash實作上有個臭蟲，就是它會繼續讀取功能函數定義後的部分和執行定義後面的指令。在理想狀況下，它應該停止讀取定義以後的東西並加以忽略，不管之後是什麼，但是它沒有。

env ENV_VAR_FN=’() { <your function> }; <attacker code here>’

这次不知道加拿大税务局等相关网站会不会关闭，会关几天？

欢迎光临无忧论坛 (https://bbs.51.ca/)