关于GNU Bash存在远程代码执行漏洞的情况通报

2014-09-26 14:25:09

安全公告编号:CNTA-2014-0026

9月25日,CNVD收录了GNU Bash远程代码执行漏洞(CNVD-2014-06345,对应CVE-2014-6271),官方同步提供了GNU Bash的修复补丁。9月25日晚,安全人员研究发现其提供的补丁程序并未完全修复漏洞,相关安全机制可被绕过,对互联网上应用GNU Bash的大量服务器构成远程控制威胁。

一、漏洞情况分析

GNU Bash(Bourne again shell)是一个命令语言解释器,能够从标准输入设备或文件读取、执行命令,结合了部分ksh 和csh特点,同时也执行IEEEPOSIX Shell(IEEE Working Group 1003.2)规范,广泛运行于大多数类Unix系统的操作系统之上,包括Linux与Mac OS X v10.4都将它作为默认shell。

CNVD组织完成的多个测试实例表明,GNU Bash 4.3及其之前版本均存在远程命令执行漏洞,该漏洞起因于Bash(Bourne Again SHell)的ENV指令,通过对bash源代码进一步分析得出,ENV本身并不是任意指令执行,真正导致命令任意执行的原因是BASH没有对传入的参数进行正确的边界检查,导致数据和代码的混杂,产生了和PHPEVAL Code InJection类似的漏洞。从bash变量解析文件中查看ENV中进行的临时环境变量设置,得出漏洞是由于initialize_shell_variables函数对外部发送的数据进行错误信任判断而执行代码所致,允许攻击者构造包含代码的值创建环境变量,执行任意代码。目前为止,发现通过HTTP请求CGI脚本是主要的攻击途径。CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞会影响目前主流的操作系统平台,包括但不限于Redhat、CentOS、Ubuntu、Debian、Fedora、Amazon Linux 、OS X 10.10等平台,由于抽样验证当前出厂预装的Andriod操作系统暂不支持ENV命令,因此,可推测针对Andriod操作系统受影响的可能性较小。该漏洞还可能会影响到使用ForceCommand功能的OpenSSH sshd、使用mod_cgi或mod_cgid的Apache服务器、DHCP客户端、其他使用bash作为解释器的应用等。受该漏洞影响的版本包括:Gnu bash1.14.0-1.14.7、Gnu bash 2.0-2.05、Gnu bash 3.0-3.2.48、Gnu bash 4.0-4.3。部分主要漏洞影响平台及版本如下所示:

操作系统 版本 解决方案
Red Hat Enterprise Linux 4 (ELS) Red Hat Enterprise Linux 4 Extended Lifecycle Support - bash-3.0-27.el4.2
5 Red Hat Enterprise Linux 5 - bash-3.2-33.el5.1

Red Hat Enterprise Linux 5.6 Long Life - bash-3.2-24.el5_6.1

Red Hat Enterprise Linux 5.9 Extended Update Support - bash-3.2-32.el5_9.2

6 Red Hat Enterprise Linux 6 - bash-4.1.2-15.el6_5.1

Red Hat Enterprise Linux 6.2 Advanced Update Support - bash-4.1.2-9.el6_2.1

Red Hat Enterprise Linux 6.4 Extended Update Support - bash-4.1.2-15.el6_4.1

7 Red Hat Enterprise Linux 7 - bash-4.2.45-5.el7_0.2
CentOS 5 bash-3.2-33.el5.1
6 bash-4.1.2-15.el6_5.1
7 bash-4.2.45-5.el7_0.2
Ubuntu 10.04 bash 4.1-2ubuntu3.1
12.04 bash 4.2-2ubuntu2.2
14.04 bash 4.3-7ubuntu1.1
Fedora 19 bash-4.2.47-2.fc19
20 bash-4.2.47-4.fc20
21 bash-4.3.22-3.fc21
Debian 4.1-3 4.1-3+deb6u1
4.2+dfsg-0.1 4.2+dfsg-0.1+deb7u1
4.3-9 4.3-9.1
Amazon Linux AMI   bash-4.1.2-15.19
Mac OS X 10.10  

目前互联网上已经出现了针对该漏洞的POC和检测代码,虽有部分系统已经给出了补丁,但因漏洞修补时效性及范围之大,且还存在一些没有发布补丁的问题,预计在近期针对该漏洞的攻击将呈现上升趋势,对网站服务提供商以及用户造成的危害将会进一步扩大。

三、漏洞处置建议

 建议相关用户更新bash源码,针对ENV命令实现部分,进行边界检查与参数过滤。严格界定函数定义范围,并做合法化的参数的判断。同时请广大用户及时关注厂商官网及时下载更新:

http://www.gnu.org/software/bash/

注:CNVD成员单位安天实验室、恒安嘉新、绿盟科技公司提供了漏洞分析文档及部分研判支持。

参考链接:

http://www.securityfocus.com/bid/70103

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271