Bash是Unix-like系統的一種shell,誕生於1980年代,bash這個名稱源於:Bourne-Again Shell。操作電腦輸入的指令,需透過shell的翻譯,才能讓作業系統的核心了解指令的意思進而作動;而多數Unix-like的作業系統,包括各種Linux、Mac OS X,都將bash作為預設shell。因此,在2014年9月9號揭露的Bash遠端執行安全漏洞(CVE-2014-6271),才會對資訊安全管理產生巨大的衝擊。
這個漏洞將造成Unix-like系統上權限不夠的使用者可以透過bash提權或進行其它非法操作;且若此系統為伺服器,並使用Apache搭配mod_cgi、mod_cgid模組做為web服務,則Server端網頁程式有呼叫bash的話,有心人士就可以利用這個網頁程式來入侵這台伺服器。如您要測試您的Unix-like系統是否存在此弱點,請在輸入指令的shell處輸入:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
若系統顯示「 vulnerable this is a test」,就表示您的系統存在此弱點;若系統顯示其它錯誤訊息,則表示您使用的shell可能不是bash或您已修補此弱點。
中華數位全系統SQR產品不受此漏洞的影響,請用戶安心。