距離“破殼”（Shellshock）漏洞的首次爆發(fā)已經(jīng)快兩周時(shí)間了。相信你很可能聽說(shuō)過(guò)這個(gè)漏洞，它的危害等級(jí)被專業(yè)安全人士評(píng)為10。相比之下，上一個(gè)著名漏洞“心臟出血”只有5。

不過(guò)奇怪的是，“破殼”目前的反響并不高?！靶呐K出血”爆發(fā)時(shí)，騰訊、阿里、華為、小米等大廠以及許多安全廠商都被爆出漏洞，討論人群也非常廣泛，有許多的非專業(yè)用戶都參與其中。但“破殼”爆發(fā)后，國(guó)內(nèi)目前公開僅出現(xiàn)CSDN等數(shù)例漏洞，討論范圍局限在專業(yè)安全人士圈內(nèi)。

為何會(huì)反差如此之大？當(dāng)然不是因?yàn)椤捌茪ぁ钡奈：Ρ豢浯?，這與它的特征有關(guān)。

知道創(chuàng)宇研究部總監(jiān)余弦表示，“破殼”的攻擊比較特殊，沒(méi)法像“心臟出血”那樣超級(jí)量化。“心臟出血”的探測(cè)方式很通用，可以針對(duì)全球大規(guī)模批量探測(cè)，所以可以超級(jí)量化。而“破殼”漏洞探測(cè)復(fù)雜，每個(gè)設(shè)備或組件的探測(cè)規(guī)則都不一樣，所以難以大規(guī)模通用量化，只能針對(duì)具體設(shè)備或組件來(lái)逐一量化。

另外一個(gè)原因，“心臟出血”那么火，還與當(dāng)時(shí)受影響的目標(biāo)有關(guān)，比如國(guó)內(nèi)很多服務(wù)是https的，都是目標(biāo)，比如淘寶、支付寶、陌陌、知乎等都用了https，輕易就被探測(cè)出漏洞了。這次“破殼”漏洞會(huì)隱蔽些，雖然影響面肯定大很多很多，但是暴露出來(lái)可直接攻擊的接口卻不一定有或容易被找到。

雖然量化不易，但“破殼”的利用方式更多樣化。

白帽子@RAyH4c 認(rèn)為：“破殼漏洞和心血漏洞比誰(shuí)的危害更大，我覺(jué)得是破殼漏洞，因?yàn)檫@個(gè)漏洞包含了遠(yuǎn)程代碼執(zhí)行和本地提權(quán)，可以直接拿到權(quán)限。目前這個(gè)漏洞還是在慢慢發(fā)酵，影響的第三方開源項(xiàng)目和各種以web cgi做管理界面的硬件設(shè)備太多，bash變量的感染注入相信會(huì)爆出更多的奇技淫巧…”@tombkeeper 進(jìn)一步補(bǔ)充：“這個(gè)是遠(yuǎn)程漏洞也是本地漏洞，是服務(wù)器漏洞也是客戶端漏洞，且不存在內(nèi)存類漏洞利用不穩(wěn)定的問(wèn)題，幾乎100%成功率?！?/p>

更糟糕的是，這個(gè)存在了25年的漏洞（“破殼”最早在1989年就存在了），修復(fù)也極為麻煩。

Red Hat發(fā)布了多個(gè)修復(fù)補(bǔ)丁，但到目前官方對(duì)此尚存疑慮，其安全專家Florian Weimer指出，bash解析器存在大量漏洞，因?yàn)樗谠O(shè)計(jì)最初并未（也不需要）考慮安全問(wèn)題。他推薦了兩個(gè)徹底修復(fù)的方法，但會(huì)對(duì)舊版本不兼容。

Shellshock.net也提示：目前的bash補(bǔ)丁并不保證100%修復(fù)。強(qiáng)烈建議更新bash相關(guān)的系統(tǒng)補(bǔ)丁，并保持對(duì)此關(guān)注。

如果把“心臟流血”比作通過(guò)門隙偷聽密碼的小偷，“破殼”則像是人的肺部出現(xiàn)先天性毛病。門隙可以馬上堵上，但先天性的肺部毛病很難根治，無(wú)論是徹底性補(bǔ)丁還是更換新的肺部（換一種shell程序），都是大手術(shù)。面對(duì)互聯(lián)網(wǎng)上海量采用bash的系統(tǒng)，修復(fù)“破殼”注定是一項(xiàng)艱難而漫長(zhǎng)的工作。

題圖來(lái)自PCWorld

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。