乙個「潛伏」了22年的安全漏洞

2021-09-28 17:41:26 字數 2197 閱讀 5372

早在網際網路取得商業成功之前,布賴恩·j·福克斯(brian j. fox)就發明了網際網路中使用最廣泛的工具之一。

2023年,年輕的程式設計師福克斯編寫了bash(bourne-again shell的簡稱)。如今,逾70%連入網路的機器都裝有該免費軟體,比如伺服器、電腦、路由器、某些型別的手機,乃至冰箱和相機等日常用品。

周四,安全專家警告,bash存在乙個極其令人擔憂的軟體漏洞,而這一漏洞可以被用於控制世界範圍內數以億計的機器,或許會危及蘋果電腦(macintosh)和使用android作業系統的智慧型手機。

這個名為「shellshock」的漏洞被拿來與今年春天在一重要軟體中發現的「心臟出血」(heartbleed)漏洞作比較。

不過,shellshock有可能會帶來更大的威脅。「心臟出血」漏洞可以被用於從伺服器上盜取密碼等行動,而shellshock則可以用於控制整台機器。前者潛伏了兩年,給大約50萬台機器造成影響,而後者潛伏了22年後才被發現。

一種存在漏洞的**能夠在20多年的時間裡不被發現,這可能會令很多人感到震驚。但程式設計師們並不吃驚。

個人使用者及大型企業依賴的很多商用工具,基於的都是由開源社群的幾名無償志願者編寫並維護的程式。谷歌(google)等大公司與開源社群一樣,都是在之前產品的基礎上改造、創造新東西。例如,蘋果作業系統會定期更新,但它建立在unix等老版程式的基礎之上。

有時候,這種**會出現漏洞。隨著時間的流逝,漏洞成為了各種產品的一部分。

福克斯對bash——相當於用於解讀使用者不同指令的軟體——維護了五年,然後將它交給現年49歲的程式設計師切特·雷公尺(chet ramey)。這項工作雷公尺一干就是22年,純屬業餘愛好,沒有報酬。他平時在凱斯西儲大學(case western reserve university)擔任高階技術架構師,業餘時間才維護bash。

雷公尺周四接受採訪時表示,他認為是自己在2023年推出bash的一項新功能時無意間引入了shellshock,但他無法確定,因為當時沒有進行詳細的記錄。這些年來,他乙個人維護bash,郵箱裡偶爾會收到錯誤報告。

9月12日,另一名開源愛好者斯特凡·查澤拉斯(stephane chazelas)聯絡上他,稱存在乙個可能很危險的漏洞。

在發現這個漏洞的幾個月前,查澤拉斯在另外乙個系統裡找到了類似問題。他在自己的伺服器上測試這個被他稱為「bashdoor」的漏洞,並尋找修復它的方法。

與雷公尺和開源社群的安全工作人員合作,查澤拉斯數小時內就編寫好了補丁。然後他們開始聯絡各大軟體廠商,同時試圖避免把風聲走漏給黑客。

美國國家標準與技術研究院(national institute of standards and technology)發出了正式警告,宣稱在嚴重程度、影響和可利用性方面,該漏洞達到了最高分10,而且它的複雜性較低,這就意味著很容易被黑客利用。

安全研究人員說,這個漏洞一經通報,他們就發現,通常所說的「白帽黑客」——很可能是安全研究人員——以及有網路罪犯嫌疑的人,均對網際網路進行了全面掃瞄。他們擔心,遲早會有人編寫乙個程式,利用shellshock來控制機器。

研究人員指出,相較於蘋果個人膝上型電腦,連線到網際網路的伺服器遠遠更容易受到這種攻擊,因為你必須把自己的膝上型電腦連線到乙個公共網路上,而且黑客需要知道你連線到哪個網路上,才能利用這個漏洞攻擊你。

蘋果尚未回應置評請求。

國土安全部旗下的計算機應急小組(computer emergency readiness team,簡稱us-cert)建議使用者和技術管理人員通知linux或unix作業系統的**商,請他們提供相應的補丁。對於家庭使用者,安全專家建議保持軟體更新到最新版本,並檢視生產商**上的資訊,特別是針對路由器這樣的硬體。

即使一些人對開源社群有所質疑,但其最大的支持者提出,該漏洞被發現——就算是22年後才發現——至少也證明了程式設計師從來沒有停止過糾錯工作。

在本周四接受採訪時,bash的發明者福克斯開玩笑說,對於發現shellshock漏洞這件事,他的第一反應是,「啊哈,我的計畫成功了。」

「我不認為這個問題的關鍵在開源,」澤姆林說。「軟體正在滲透這個世界的方方面面。糟糕的是,軟體又難又複雜。」

至於開源社群的真諦,開源運動元老埃里克·j·雷蒙德(eric j. raymond)所做的闡述也許是最精闢的。他在2023年寫道,「只要吸引足夠多的眼球,一切漏洞都很淺顯。」但是,哥倫比亞大學(columbia university)的電腦科學教授史蒂夫·m·貝羅文(steven m. bellovin)說,在這件事情上,吸引更多眼球的是新功能,而不是質量。「質量需要幹苦活、設計、檢查和測試,這些事情根本比不上程式設計有趣,」貝羅文說。「如果不培養這些技能,開源社群就會在質量競賽中落後得更遠。」

關於CSDN的乙個安全漏洞

在瀏覽csdn的部落格是,偶然發現csdn的乙個安全漏洞,對於我們來可能沒有什麼攻擊的必要,但是如果不修復,還是有很大的隱患的,下面貼出來看看 如上圖所示,通常在web瀏覽頁面是,遇到不能訪問的頁面或者是目錄,程式應該給予乙個統一的錯誤提示,而且錯誤提示資訊必須要遮蔽所有可能造成攻擊的資訊。以上首先...

關於CSDN的乙個安全漏洞

在瀏覽csdn的部落格是,偶然發現csdn的乙個安全漏洞,對於我們來可能沒有什麼攻擊的必要,但是如果不修復,還是有很大的隱患的,下面貼出來看看 如上圖所示,通常在web瀏覽頁面是,遇到不能訪問的頁面或者是目錄,程式應該給予乙個統一的錯誤提示,而且錯誤提示資訊必須要遮蔽所有可能造成攻擊的資訊。以上首先...

關於CSDN的乙個安全漏洞

在瀏覽csdn的部落格是,偶然發現csdn的乙個安全漏洞,對於我們來可能沒有什麼攻擊的必要,但是如果不修復,還是有很大的隱患的,下面貼出來看看 如上圖所示,通常在web瀏覽頁面是,遇到不能訪問的頁面或者是目錄,程式應該給予乙個統一的錯誤提示,而且錯誤提示資訊必須要遮蔽所有可能造成攻擊的資訊。以上首先...