繼上次 Linux 平台全球 Heartbleed 爆出漏洞，Shell Shock 也出現了威脅不小的漏洞，美國政府的國家弱點資料庫（NVD）發表了最新的弱點通報。範圍涵蓋絕大部分的 Unix-Like 作業系統，如Linux、BSD、MAC OS X 等等。

先前的 Heartbleed 漏洞只影響 OpenSSL ，這是傳輸資料加密相關的程式有漏洞，而駭客可以藉此攻破系統。而這次的 Shell Shock 漏洞是 Linux 用戶、系統管理員常使用的 Bash ，在許多版本中都有這個遠端執行程式碼的安全性漏洞。

如果你的網頁伺服器程式中有呼叫 Bash Shell 的話，駭客能夠利用漏洞去改變其環境變數，遠端執行惡意的程式碼，取得系統資料。

下面是這個漏洞相關的示範影片：

如果你是 Linux 系統的管理者，可以測試看看用這個指令來看系統有沒有漏洞。
在 shell 中輸入

env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test"
vulnerable
this is a test

如果是「Xthis is a test」就是系統還有漏洞，需儘快更新。
如果是「bash: warning: x: ignoring function definition attempt」，就沒有關係了。

env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test" bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x’ this is a test

這個漏洞是法國的 Stéphane Chazelas 發現，而負責維護 Bash Shell 套件的 Chet Ramey 已經推出了更新程式，把 Bash 3.0 到 Bash 4.3 的版本都做了修補。

目前各平台的發行版已經推出了各對應版本的修補套件程式，使用相關平台的人，可以趕快更新，這次的資安威脅威力不亞於上次的 Heartbleed 漏洞。

Vulnerability Summary for CVE-2014-6271 USN-2362-1: Bash vulnerability

首圖來源：uscollegesearch