前言

2014年9月25日(中国时间)，信息安全界披露的Linux Bash "shellshock" 安全漏洞因其严重性和影响范围，引起了全社会的高度重视。

我们的技术团队作为国内主要的开源软件专业服务团队，在漏洞披露后的，第一时间确认了应对方案，并及时推送到了大部分用户，尤其是金融，电信和制造等重点行业用户。

其后，互联网和媒体也开始大幅度的加强了对此事件的关注和报道。为了更清晰的让用户了解事态的发展，我们将通过我们的公众微信群，持续为大家提供本事件的发展跟踪以及我们的建议。

基本背景

CVE: 本事件发生后，"CVE" 这三个字母高频出现，究竟什么是CVE呢?

CVE是"Common Vulnerabilities & Exposures" 的缩写，中文翻译为"公共漏洞和暴露"。 它是一个由主要信息技术输出国家(如美国，加拿大等)政府部门负责信息化安全的组织及国际主要IT厂商，信息安全厂商，信息安全研究机构，高校和信息安全领域顶级专家社群共同维护的一份在线数据库。可以理解为一份针对安全漏洞不断更新的"字典"。

CVE中的信息，按照国际标准信息发布格式发布。现已成为信息安全领域权威的安全漏洞发布平台。

CVE 的数据库位置

http://cve.mitre.org/

http://web.nvd.nist.gov/view/vuln/search?execution=e2s1/

本次事件涉及并披露的CVE漏洞如下：

CVE-2014-6271 (2014年9月25日发布) (严重性评级 High 10)

CVE-2014-7169 (2014年9月26日发布) (严重性评级 High 10)

CVE-2014-6277 (2014年9月27日发布) (严重性评级 High 10)

CVE-2014-7186 (2014年9月28日发布) (严重性评级 High 10)

CVE数据库相关链接地址 (http://web.nvd.nist.gov/view/vuln/search-results?query=bash&search_type=all&cves=on)

漏洞问题的技术描述

Red Hat 官方的技术漏洞分析(https://access.redhat.com/articles/1200223)

国内技术社区有代表性的技术漏洞分析(http://coolshell.cn/articles/11973.html)

受影响的系统

Bash 开发社区，商业Linux厂商(Red Hat , SuSE, Oracle, Ubuntu) 都给出了受影响系统的描述列表。此处就赘述了，用户可以尽快根据自己的Linux环境和版本进行逐一比对。

简而言之，可以默认为所有当前Linux 系统，苹果OSX系统都受到影响。

漏洞的严重性

简单对该漏洞的严重性描述为 "很严重"。

由于Bash 是所有Linux系统和使用Linux作为内部嵌入操作系统的硬件网络设备(如硬件负载均衡器，安全产品，监控产品等)的标准Shell.

而Linux自身大量的软件包运行是依赖标准Shell, 同时有很多外部应用开发商和大量开源软件的运行都依赖于标准Shell.

本次漏洞本质上是一个"提权"漏洞，通过超过人想象的简单，可复制的手段，就可以将只有Linux超级用户"root"才有权执行的指令，以普通权限登陆或访问来执行。使得黑客和恶意代码可以用极小的代价，简单的攻击方式获得服务器的最高权限。

虽然上述开源社区和商业Linux发行厂商都在自己的支持网站的相关网页，给出了一个易于受到该漏洞利用的相关系统服务的名称，但是由于该漏洞的技术本质，这些组织都同时表明了，所列的易受影响的系统服务列表并不是穷尽的，并不能代表所有可能受影响服务的整体全局。

漏洞的发酵

地下黑色产业最乐意见到如此简单，可操作，可复制的安全漏洞产生。他们可以将该漏洞技术本质 - "恶意提权" 和大量现有流行的入侵和攻击方法结合起来，从本漏洞披露到现在，仅仅7天不到， 就已经出现了以下的组合入侵和攻击方法:

漏洞+botnet(机器人网络，国内俗称肉机网络) 大规模自动扫描和入侵

漏洞+worm (蠕虫) 入侵和在目标系统间蔓延

漏洞+缓冲区溢出 利用漏洞提权后，对系统中其他存在缓冲区溢出的系统进行本地攻击

漏洞+DDOS(分布式拒绝服务)

漏洞+DDOS+中间人攻击

请用户尽快修补网络边界上的受影响设备，并及时要求专业安全服务公司进行支持, 包括边界安全设备上拦截规则的更新，疑似系统的全面扫描。

我们Linux服务团队会全力配合用户进行Linux系统级的升级和调整工作。

升级后需要主要的

升级的相关操作手册我们已经第一时间发送给用户了。升级完成后，该如何进一步处理？

由于现在大量用户采用虚拟机模板在虚拟机中运行Linux系统，需要第一时间对虚拟机模板进行修改，确认新系统的部署都是由修补工作完成的模板推送产生。

同时对已有系统，按照重要性级别，邀请专业安全公司进行详细扫描。对于一些疑似入侵系统，应尽快采取下线和干净系统重部署工作。疑似被入侵系统被部署前，需要尽可能保留一份系统的快照，便于安全部门做入侵现场的保护工作。

最后祝愿我们的用户们能够尽快修补好网络边界上的系统，并对重要系统尽快完成补丁工作。