思科系统(Cisco Systems)和甲骨文(Oracle)正在努力识别其产品组合中的网络和其他产品,这些产品受到Shellshock致命漏洞的影响。
的弹震症脆弱性和过去一周发现了几个相关的源于Unix和Linux系统的Bash命令行解释器在解析外部脚本传递给它的字符串时的错误。这些缺陷允许攻击者欺骗在脆弱机器上运行的某些进程,将恶意字符串传递给Bash,然后在底层操作系统上以命令的形式执行这些字符串。
安全研究员罗伯·富勒收集Shellshock的概念验证从各种来源收集的。最著名的攻击载体是通过运行CGI脚本的Web服务器和SSH (Secure Shell)守护进程,尽管其他与Bash交互的应用程序也是潜在的目标。
思科确定了71种产品到目前为止都暴露在这个弱点之下。这些产品服务于各种用途,包括网络应用、服务和加速;网络内容与安全;网络管理和配置;路由和交换;统一计算;语音和统一通信;视频、流媒体、网真和转码。
易受Shellshock及相关漏洞影响的思科产品数量远远超过已确认不存在漏洞的38个。该公司正在审查另外168种产品和托管服务,因此易受攻击的产品名单可能会增加。
思科在其咨询中表示:“这个漏洞对思科产品的影响可能取决于受影响的产品,因为一些攻击载体,如SSH,需要成功的身份验证才能被利用,可能不会给用户授予任何额外的特权。”
甲骨文还在确定哪些产品容易受到攻击。到目前为止,该公司已经做到了为9种产品发布了Shellshock补丁Oracle Database Appliance 12.1.2 and 2.X;Oracle Exadata存储服务器软件;甲骨文Exalogic;甲骨文Exalytics;Oracle Linux 4、5、6和7;Oracle Solaris操作系统8、9、10和11;甲骨文超星系团;Oracle Virtual Compute Appliance Software和Oracle VM 2.2, 3.2和3.3。
Oracle发现,另外42个产品至少在一个版本中使用了Bash,可能容易受到Shellshock的攻击。目前还没有针对这些产品的补丁。目前正在调查其他四种产品,以确定它们是否使用了易受攻击的Bash版本。
该公司在其咨询报告中表示:“甲骨文尚未评估该漏洞对不再受其支持的产品的影响。”
其他在Linux上构建产品的供应商,无论是硬件设备、SCADA平台、专用服务器还是嵌入式设备,都有可能在不久的将来发布Shellshock补丁。
Shellshock漏洞和相关Bash bug的总体影响很难量化,因为这个基本组件在Unix和Linux世界中无处不在,而且追溯到1993年的所有Bash版本都可能存在漏洞。多重攻击向量只会增加确定哪些系统面临风险的复杂性。
