关于lubuntu的一个漏洞无更新
昨天因为cubian莫名其妙挂了,刷了新的cubian也启动不了,无奈上官网镜像列表找了个ct-lubuntu-server-nand-v2.0.img刷。后来用apt-get update想更新下软件,发现更新列表里竟然没有最近非常牛逼的一个bash漏洞补丁……
用漏洞测试代码测试了下:env x='() { :;}; echo vulnerable' bash -c "echo this is a test"回显:vulnerable
this is a test 明显有漏洞了……
无奈去http://ports.ubuntu.com 源里找了下bash最新版手动安装下:wget http://ports.ubuntu.com/ubuntu-ports/pool/main/b/bash/bash_4.3-11ubuntu1_armhf.deb
dpkg -i bash_4.3-11ubuntu1_armhf.deb然后测试,输出this is a test ,说明漏洞补了。
顺便说下,这个漏洞非常牛逼,后劲儿非常大,之前只是被利用到了cgi程序上,前几天又有牛人发现可以搭建恶意dhcp服务器利用此漏洞,意思是漏洞机器向恶意dhcp服务器获取IP地址时,会执行恶意代码(bash命令)……
info:http://www.freebuf.com/vuls/46603.html
以后会有更多牛人挖出利用此漏洞的方法的~
最后吐槽一下,为毛这个版本的ubuntu apt源维护这么差啊……………………………………………………………………
页:
[1]