互联网商业使用后最严重的漏洞断层

图 / 取自网路

今(2014)年 4 月，开源加密库 OpenSSL 的 Heartbleed 安全漏洞震惊了互联网。由于 OpenSSL 被广泛用于互联网的安全套接层协定，因此，这次安全危机牵涉到诸多网站，还影响到一些知名的软体、作业系统和固件。据报导，漏洞爆出之日，17％ 的可信 Https 站点都存在此安全隐患。当时，网站安全专家们称其为『灾难性』的，甚至是『互联网允许商业使用后所发现的最严重的漏洞』。

根据爱范儿报导，这个漏洞的出现，还暴露出一个令人震惊的事实。OpenSSL 获得了如此广泛的使用，但是，负责维护的只有四人（一人是全职），而且长期处于资金不足的状态。随后，微软、Google、Facebook 等科技巨头成立非盈利组织 Core Infrastucture Intiative，以资助网路上的重要专案。

如今，大多数网站已经修復了心脏流血漏洞，度过了一场严重的危机。只是，让人没有想到的是，仅仅几个月后，另一场安全危机又突然来临了，而且比上次还要严重。Red Hat 安全团队在 Bash Shell 中发现了一个超级严重的漏洞。这个漏洞被命名为『Shellshock』。据 FT 中文网的报导，此漏洞已经引起了国家安全机构的高度重视。

据安全分析人士介绍，就连技术含量最高的政府和军方系统也因 Shellshock 的存在而变得脆弱。随着敌对国家的政府和犯罪组织寻求利用这个安全漏洞，一些网路攻击正在进行中。

周三，美国国土安全部(Department of Homeland Security)确认了这个漏洞的存在，并向全美各地的公共和私人部门机构发出警告。

『利用这一漏洞，可能让远端攻击者得以在受影响的系统上执行任意代码，』美国国土安全部表示。也就是说，这个漏洞让潜在攻击者不受阻碍地进入电脑系统，无论其目的是利用犯罪手段获利，从事间谍活动还是搞破坏。

美国国土安全部的国家网路安全部门对 Shellshock 的可利用性打分为 10 分（总分 10 分），影响打分为 10 分（总分 10 分），总体严重性的打分也是 10 分，即最具破坏力的评分。相比之下，『心脏出血』只得到 5 分。英国网路安全机构——政府通信总部(GCHQ)周三向英国机构发出警告，称这个漏洞影响国家关键基础设施。

要理解 Shellshock 的严重性，首先要知道什么是 Bash Shell。在类 Unix 系统中，Shell 是作业系统最外面的一层，管理用户与作业系统之间的交互。它类似于 DOS 下的 command，接收用户命令，然后调用相应的应用程式。Shell 有很多种，但是 Bash Shell 是大多数 Linux 系统和 Mac OS X 默认的 Shell。由于许多网路伺服器使用了 Linux 系统，因此，这个漏洞的影响是相当广泛的。

除了网路伺服器之外，其他的联网设备也会受到影响，包括路由器、网路摄影机、智慧灯泡等，因为它们的软体中大量使用了 Bash 脚本。ErrataSec 安全专家的 Robert Graham 认为 ，Shellshock 漏洞比心脏流血漏洞还要严重，而且，心脏流血漏洞只影响某个版本的 OpenSSL，Shellshock 漏洞存在的时间要长久多了，修復起来也更加困难。

一个主要的担忧是，攻击者可能利用 Shellshock 来传播蠕虫病毒，影响数量众多的电脑。攻击者也可能利用该漏洞突破公司的防火墙，造成难以估量的严重后果。

目前，Rat Hat 发布了一个补丁，但随后又警告说，补丁并不完整。不过，即使有了完整的补丁，修復如此众多的漏洞也是一件难事，特别是一些老设备是打不了补丁的。『我们永远无法完整统计出受到该漏洞影响的所有软体，』 Gramham 对 Cnet 网站说，『当已知系统（比如你的网路伺服器）打上补丁后，那些未知的系统仍然是有漏洞的。我们已经看到心脏流血漏洞的情况了：六个月过去了，数以万计的系统仍然存在安全漏洞。』

【101创业大小事/整理报导】

免责声明：

部分图片、观点，来源于网际网路及其他网路平台，主要目的在于分享讯息，让更多人获得需要的资讯，其版权归原作者所有。如涉及侵权请告知，我们会在24小时内删除相关内容。