CVE-2014-6271

Суть уязвимости

Уязвимость (Shellshock) позволяет злоумышленнику выполнить произвольный код на вашем сервере. Атака возможна, если: * Злоумышленник передает вредоносную строку через переменные окружения (например, HTTP-заголовки User-Agent). * Уязвимая версия Bash обрабатывает эту строку как команду. * Это часто эксплуатируется через CGI-скрипты, сервисы DHCP, SSH и другие, использующие переменные окружения.

Как исправить

Обновите пакет bash до исправленной версии.

Для Debian/Ubuntu:

sudo apt update && sudo apt install --only-upgrade bash

После обновления проверьте версию:

--version

Убедитесь, что версия выше 4.3-014 для Debian/Ubuntu или содержит исправления для CVE-2014-6271.

Для RHEL/CentOS 6/7:

sudo yum update bash

Или, если используется dnf (RHEL 8+):

sudo dnf update bash

Для проверки установки исправления выполните тестовую команду:

env x='() { :;}; echo VULNERABLE' bash -c "echo Test"

Если вывод содержит только Test и НЕ содержит слово VULNERABLE — система защищена.

Временное решение

Если немедленное обновление невозможно, выполните следующие действия:

1. Ограничьте доступ. Настройте сетевой экран (iptables, firewalld) или WAF для блокировки подозрительных HTTP-запросов, содержащих в заголовках строки вида () { :;};.
2. Отключите уязвимые интерфейсы. Если возможно, временно отключите CGI-скрипты, которые передают переменные окружения в Bash.
3. Измените права доступа. Убедитесь, что все CGI-скрипты и системные службы, вызывающие Bash, работают от минимально привилегированных пользователей (не от root).
4. Используйте альтернативную оболочку. Для критичных скриптов, не требующих специфичных функций Bash, временно измените шебанг на /bin/sh (если это dash) или другую оболочку.

Важно: Эти меры носят временный характер. Полноценное исправление — только обновление пакета bash.