Shellshock Linux 開放原始碼 shell 資訊安全 bash Unix 安全 開源 資安

正視Shellshock漏洞 反思開源軟體安全性

2015-01-22
趨勢科技近期公布了當前全球重要的資安發展趨勢,其中POS惡意程式及行動裝置等攻擊與日俱增,針對Shellshock漏洞,報告也指出:Shellshock漏洞影響到Bash 4.3版以前所有版本,在美國國家漏洞資料庫的分類中嚴重性為10(總分10),駭客可透過Shellshock漏洞取得權限執行任意指令,且攻擊的容易程度令人咋舌。
Shellshock漏洞曝光至今已過了三個月,現在該是重新檢視問題並評估其衝擊的時刻。微軟開發安全最有價值專家Troy Hunt對這個威脅所牽涉到的挑戰下了一個總結,其中最令人震驚的是,Shellshock漏洞所影響的範圍非常廣泛。簡單來說,Bash無所不在。在許多缺乏正常更新或支援機制的系統中,都有它的存在,也就是世界上仍有許多的裝置都存在這個漏洞。

科技媒體Netcraft估計,目前使用Apache和nginx兩種伺服器的網站(兩者幾乎都只存在於*nix系統)共約有489,984,790個,高達網站總數的52%。另一個估計來源則是Google。當我們搜尋「inurl」這個關鍵字時會得到約497,000,000筆含有「cgi-bin」字串的搜尋結果,意味著其底層通常是呼叫指令列介面程式(shell,一般就是bash)來執行指令。

因此,不論用何種估算方式,都顯示出Shellshock漏洞是一個嚴重、無所不在且容易被攻擊的問題。我們除了設法做好防範,更重要的是必須重新思考Linux及開放原始碼軟體的整體安全性。


▲Shellshock漏洞影響到4.3版之前的Bash版本,因此幾乎所有Unix、Linux及Mac OS X都是潛在的攻擊對象。

Bash已存在很長一段時間(第一版出現於1989年)且甚少被爆出漏洞,因此一直是個具彈性又可靠的作業系統介面,也因為如此,從手表到大型超級電腦都有它的蹤影。

Shellshock漏洞被確認後,人們才開始認真思考開放原始碼專案的安全管理;相關的爭論未來必定還會持續下去,但卻無法改變駭客可以輕易找到開放原始碼軟體漏洞的事實。我們必須謹記,處於防禦地位的我們同樣也能取得原始程式碼,並且迅速地修正任何被揭發的漏洞,但封閉原始碼的軟體則必須仰賴程式維護人員來提供更新,因此好壞參半。

這個漏洞真正突顯的是,開放原始碼專案以及使用者社群有必要多花心思於使用者安全性。對於開放原始碼專案來說,專責的安全審核是有其必要性的。大多數的專案都擁有良好的問題回報及解決流程,例如Apache基金會的Jamie Goodyear所建立的流程。

但這樣還不夠,我們必須預先防範這類問題發生,因此須要靠大家同心協力,若您的企業使用了開放原始碼軟體,那就應該審查這些應用程式的原始碼是否有任何安全上漏洞,並於完成審查後將結果回報給專案小組。

開放原始碼需要透過社群的參與才能成長,這是每個人回饋的大好機會,畢竟它也讓我們受益匪淺。

(本文作者現任趨勢科技首席工程師)


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!