又到了安全信息防护科普的时刻了。

    近来不少友商都遭遇了Bash“破壳”漏洞之苦，纷纷被披露漏洞搞得苦不堪言，名誉扫地。当然，也有不少客户疑虑着：Softnext的产品是否也有此漏洞？为何Softnext守内安的产品免遭此难了呢？

    早在今年4月9日，一个代号为“heartbleed”（“心脏出血”）的重大安全漏洞被曝光，它能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据。

    无论是网络安全防护、还是信息安全防护，今年都已经越来越被重视了！

    可在今年9月24日Bash被公布存在远程代码漏洞，定义为Bash“破壳”漏洞，且该漏洞已达到高危状态，我们不得不再一次老生常谈，并提醒广大网站和企业尽快检测修复。

    Bourne Again Shell（简称BASH）是Linux标准的默认shell,也是GNU/Linux上最流行的SHELL,于1980年诞生，经过了几十年的进化从一个简单的终端命令行解释器演变成了和GNU系统深度整合的多功能接口。

    目前已验证在Red Hat、 CentOS 、Ubuntu 、Fedora 、Amazon Linux 、OS X 10.10中均拥有存在CVE-2014-6271漏洞的Bash版本，同时由于Bash在各主流操作系统的广泛应用，此漏洞的影响范围包括但不限于大多数应用Bash的Unix、Linux、Mac OS X,针对这些操作系统管理下的数据均存在高危威胁。漏洞的利用方式会通过与Bash交互的多种应用展开，包括HTTP、OpenSSH、DHCP等。

    而恰恰是这样一个漏洞，令我们不可忽视它带来的影响：

    1.此漏洞可以绕过ForceCommand在sshd中的配置，从而执行任意命令；

    2.如果CGI脚本用Bash编写，则使用mod_cgi或mod_cgid的Apache服务器会受到影响；

    3.DHCP客户端调用shell脚本来配置系统，可能存在允许任意命令执行；

    4.各种daemon和SUID/privileged的程序都可能执行shell脚本，通过用户设置或影响环境变量值，允许任意命令运行。

    而Softnext守内安的邮件安全系统为什么没有受到影响呢？

    原因是我们使用的是UNIX的FreeBSD,它是众多BSD UNIX分支中的一个，它继承了BSD系统的高性能与可靠性，而且它使用的是shell是sh,并不是bash.

    sh是Bourne shell 是UNIX标准的默认shell,也是 UNIX 系统中最悠久的 shell,所有的UNIX系统都会内附这个，shell对它评价是concise简洁，compact紧凑，fast高效。

    我们先来看一个简单的POC:

    1.本地Bash Shell环境中测试是否有漏洞：

    $ env x=‘（） { :;}; echo vulnerable' bash -c “echo this is a test”

    如果存在漏洞会打印“vulnerable”.

    如下显示：

    $ env x=’（） { :;}; echo vulnerable' bash -c “echo this is a test”

    vulnerable

    this is a test

    2.本地sh Shell环境中测试是否有漏洞：

    $ env x=‘（） { :;}; echo vulnerable' sh -c “echo this is a test”

    如果存在漏洞会打印“vulnerable”.

    如下显示：

    由此可见，Softnext守内安的邮件安全系统的可靠性、可用性是值得信赖的！

    ※关于Softnext 守内安：

    将近四成福布斯十佳CEO企业选择的邮件安全管理应用--Softnext守内安凭借在网络内容安全应用领域十多年的深入钻研，致力于邮件安全以及网络内容的风险管控，提供面向市场、面向客户的最新威胁防御的网络安全产品，秉承“服务？品质？值得信赖”的全新品牌理念；在FROST & SULLIVAN（全球知名市调公司）大中华区调研中，成为连续五年复合业绩成长率第一名的质优企业。

    作为邮件风险管理和信息安全内控管理服务的专业研发厂商，Softnext守内安立于本土，深入的本土化耕耘，相继获颁【2013中国软件和信息技术服务业 最有价值品牌】和【品牌建设卓越团奖队】，邮件安全三剑客连续三年蝉联【上海市优秀软件产品奖】，并获得Frost & Sullivan授予【年度邮件内容安全服务提供商】的殊荣，并在品牌建设上，屡获软件和信息技术服务业【最有价值品牌奖】。

    了解更多内容安全信息，欢迎关注Softnext守内安官方微信：更可洽+86-21-51036007,或登录Softnext守内安官网<http://www.softnext.com.cn/> .

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。