据外媒报道,网络安全专家警告称,开源软件Linux中一个频繁使用的片段“Bash”被发现存在漏洞,其对计算机用户造成的威胁可能要超过今年4月爆出的“心脏出血”(Heartbleed)漏洞。利用该漏洞,黑客可以远程窃取服务器上的信息,并控制服务器。Red Hat、Ubuntu等主流的linux系统。为此360互联网安全中心向社会发布网络风险橙色预警,提醒广大网站和企业及时更新并安装安全补丁,避免漏洞被利用后造成重大危险。
Bash是用于控制Linux计算机命令提示符的软件。网络安全专家表示,黑客可以利用Bash中的一个安全漏洞,对目标计算机系统进行完全控制。
网络安全公司Trail of Bits的首席执行官丹·吉多(Dan Guido)指出:“与Heartbleed”相比,后者只允许黑客窥探计算机,但不会让黑客获得计算机的控制权。”
安全专家360攻防实验室负责人林伟介绍说,该漏洞编号为CVE-2014-6271。受影响的linux版本包括:Red Hat企业Linux (versions 4 ~7) 、Fedora distribution、CentOS (versions 5 ~7)、Ubuntu 10.04 LTS,12.04 LTS和14.04 LTS、Debian全版本。
林伟表示,以上系统版本广泛应用于大型网站以及企业内网。从目前分析看,该漏洞利用难度较大,但影响面广,目前还无法确认同样基于Linux内核的安卓系统是否存在同样的漏洞,360会持续关注和跟进分析。