對于這個迅速吞沒安全社區的Bourne-again shell(Bash)中的“Shellshock”漏洞，已經打了補丁的IT專業人士可能認為他們不需要擔心這個漏洞了。然而，研究人員又發現了原來被忽視的問題，并發布了新的補丁，IT專業人士需要重新再更新系統。

[[120845]]

Bash漏洞(CVE-2014-6271)一經發布就引起了廣泛關注，因為這個shell可以處理特制的環境變量，即其擁有在最后附加額外的惡意代碼的功能。在通用安全漏洞評分系統(CVSS)，該漏洞被評為10.0，它影響著世界各地數以百萬計的Linux系統，甚至讓人們將其與臭名昭著的Heartbleed OpenSSL漏洞作比較。

在該漏洞曝光后，Bash的項目管理者迅速發布了一個補丁;Red Hat等供應商隨后更新了其產品，而這之后，研究人員發現了避開這個補丁的潛在方法。谷歌安全研究人員Tavis Ormandy是最早在Twitter上呼吁人們關注這個尚有缺陷的補丁的人之一。

對于我來說，這個bash補丁似乎不完全，函數解析依然脆弱，例如$ env X='() { (a)=>\' sh -c "echo date"; cat echo

——Tavis Ormandy (@taviso)

Ormandy的發現讓我們看到了新發現的問題(CVE=2014-7169)，并導致隨后發布第二次補丁，但這兩個補丁都沒有完全修復曝光的shell解析功能。在OSS-SEC郵件列表討論了這些問題后，研究人員上周末發現了Bash中兩個未指明的漏洞，被標記為CVE-2014-7186和CVE-2014-7187，不過這些漏洞的嚴重程度尚不清楚。

另一位谷歌安全研究人員Micha Zalewski在其博客中表示他在周末還發現另一對Bash漏洞：CVE-2014-6277和CVE-2014-6278。雖然CVE-2014-6277是解析問題，最有可能被遠程利用，Zalewski表示，他認為CVE-2014-6278可能是自Shellshock曝光以來發現的“最嚴重的問題”。

CVE-2014-6278本質上允許“在已經修復第一個補丁的系統上執行非常簡單和直接的遠程代碼，”Zalewski在其博客中指出，他計劃將陸續公布關于漏洞的更多細節信息，“這是‘把你的命令放在這里’類型的漏洞，類似于原來報告中所描述的那樣。”

基于Zalewski的發現，Red Hat公司產品安全研究人員Florian Weimer發布了非官方的Bash補丁，據稱該補丁解決了上周所有已報道的Bash安全漏洞。Weimer的補丁隨后被項目管理者Chet Ramey采用，作為周六發布的Bash 4.3官方補丁的一部分。

在這個新補丁發布之際，業內一些大公司已經努力在各種產品中修復Bash。甲骨文公司發布的安全警報證實該供應商的幾十款產品受到最初Shellshock漏洞以及最新的CVE-2014-7169的影響，但該公司沒有說明客戶何時會得到永久性修復。

思科為使用包含易受攻擊版本Bash的產品的客戶提供了軟件更新，但隨后的發現讓我們還不清楚這些補丁是否最終被證明是暫時的。

Zalewski表示：“在這一點上，我非常強烈地建議手動部署Florian的補丁，除非你的發行版已經發貨了。”