bash代码注入的安全漏洞
很多人或许对上半年发生的安全问题“心脏流血”(Heartbleed Bug)事件记忆颇深,这两天,又出现了另外一个“毁灭级”的漏洞——Bash软件安全漏洞。这个漏洞由法国GNU/Linux爱好者Stéphane Chazelas所发现。随后,美国电脑紧急应变中心(US-CERT)、红帽以及多家从事安全的公司于周三(北京时间9月24日)发出警告。 关于这个安全漏洞的细节可参看美国政府计算安全的这两个漏洞披露:CVE-2014-6271 和 CVE-2014-7169。
这个漏洞其实是非常经典的“注入式攻击”,也就是可以向 bash注入一段命令,从bash1.14 到4.3都存在这样的漏洞。我们先来看一下这个安全问题的症状。
目录
Shellshock (CVE-2014-6271)
AfterShock – CVE-2014-7169 (又叫Incomplete fix to Shellshock)
原理和技术细节
bash的环境变量
bash的函数
bash的bug
...
Ksplice Uptrack — Ubuntu更新不用重启
Ksplice是马萨诸塞州坎布里奇的一家新兴厂商,它开发的软件可以帮助计算机用户保持其操作系统的安全性而且不需要经常麻烦的重新启动就可升级操作系统,Ksplice被评为麻省理工10万美元创业竞赛的6个入围项目之一。
Ksplice是Web/IT类冠军,它将与其他5个类别的入围者争夺总奖金。该公司是去年由四个麻省理工学院校友成立的,
Ksplice目前支持Linux内核的更新,但它声称其免重启更新技术工作在目标代码层,可以适用于任何操作系统或者用户空间应用。该公司说,其技术对安全更新来说特别有益,可以解决因不方便重启而使安全更新不能及时生效的问题。
昨日他们在剑桥发布了Ksplice解决方案,运用这种技术将实现无缝更新,从企业软件、系统补丁乃至Linux内核的更新都不需要重启就可以直接完成,改变了数十年来计算机运行最新代码需要重启的麻烦问题。
相关链接:
Ksplice Uptrack 主页在这里:http://www.ksplice.com/uptrack/
安装指南在这里:http://www.ksplice.com/uptrack/download
