距離“破殼”（Shellshock）漏洞的首次爆發(fā)已經(jīng)快兩周時間了。相信你很可能聽說過這個漏洞，它的危害等級被專業(yè)安全人士評為10。相比之下，上一個著名漏洞“心臟出血”只有5。

不過奇怪的是，“破殼”目前的反響并不高?！靶呐K出血”爆發(fā)時，騰訊、阿里、華為、小米等大廠以及許多安全廠商都被爆出漏洞，討論人群也非常廣泛，有許多的非專業(yè)用戶都參與其中。但“破殼”爆發(fā)后，國內(nèi)目前公開僅出現(xiàn)CSDN等數(shù)例漏洞，討論范圍局限在專業(yè)安全人士圈內(nèi)。

為何會反差如此之大？當(dāng)然不是因為“破殼”的危害被夸大，這與它的特征有關(guān)。

知道創(chuàng)宇研究部總監(jiān)余弦表示，“破殼”的攻擊比較特殊，沒法像“心臟出血”那樣超級量化?！靶呐K出血”的探測方式很通用，可以針對全球大規(guī)模批量探測，所以可以超級量化。而“破殼”漏洞探測復(fù)雜，每個設(shè)備或組件的探測規(guī)則都不一樣，所以難以大規(guī)模通用量化，只能針對具體設(shè)備或組件來逐一量化。

另外一個原因，“心臟出血”那么火，還與當(dāng)時受影響的目標(biāo)有關(guān)，比如國內(nèi)很多服務(wù)是https的，都是目標(biāo)，比如淘寶、支付寶、陌陌、知乎等都用了https，輕易就被探測出漏洞了。這次“破殼”漏洞會隱蔽些，雖然影響面肯定大很多很多，但是暴露出來可直接攻擊的接口卻不一定有或容易被找到。

雖然量化不易，但“破殼”的利用方式更多樣化。

白帽子@RAyH4c 認為：“破殼漏洞和心血漏洞比誰的危害更大，我覺得是破殼漏洞，因為這個漏洞包含了遠程代碼執(zhí)行和本地提權(quán)，可以直接拿到權(quán)限。目前這個漏洞還是在慢慢發(fā)酵，影響的第三方開源項目和各種以web cgi做管理界面的硬件設(shè)備太多，bash變量的感染注入相信會爆出更多的奇技淫巧…”@tombkeeper 進一步補充：“這個是遠程漏洞也是本地漏洞，是服務(wù)器漏洞也是客戶端漏洞，且不存在內(nèi)存類漏洞利用不穩(wěn)定的問題，幾乎100%成功率?！?/p>

更糟糕的是，這個存在了25年的漏洞（“破殼”最早在1989年就存在了），修復(fù)也極為麻煩。

Red Hat發(fā)布了多個修復(fù)補丁，但到目前官方對此尚存疑慮，其安全專家Florian Weimer指出，bash解析器存在大量漏洞，因為它在設(shè)計最初并未（也不需要）考慮安全問題。他推薦了兩個徹底修復(fù)的方法，但會對舊版本不兼容。

Shellshock.net也提示：目前的bash補丁并不保證100%修復(fù)。強烈建議更新bash相關(guān)的系統(tǒng)補丁，并保持對此關(guān)注。

如果把“心臟流血”比作通過門隙偷聽密碼的小偷，“破殼”則像是人的肺部出現(xiàn)先天性毛病。門隙可以馬上堵上，但先天性的肺部毛病很難根治，無論是徹底性補丁還是更換新的肺部（換一種shell程序），都是大手術(shù)。面對互聯(lián)網(wǎng)上海量采用bash的系統(tǒng)，修復(fù)“破殼”注定是一項艱難而漫長的工作。

題圖來自PCWorld

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。