安全公告：Bash shell

作者：Russell Keith-Magee 发布于 2014年9月24日

今天发布了 Bash 的安全版本，修复了一个严重漏洞。此漏洞允许攻击者在几乎任何 Web 服务器上注入并执行任意代码。

此问题不会直接影响 Django，但会影响大多数 Django 用户。

任何通过 CGI 或类似 CGI 的接口（包括 WSGI）提供服务的 Web 服务器都应立即升级其 Bash 版本。

此问题已分配 CVE-2014-6271。

您也可以查看对该漏洞的完整描述。

以下操作系统已发布了新的软件包

• Debian
• Ubuntu
• Red Hat Enterprise Linux

更新：9:05 CST 有报告称，发布的此问题的补丁可能不足以解决问题；我们建议您在接下来的几天里密切关注安全更新渠道，以防发布修订的安全补丁。

更新：9月25日，下午6点 CST 上述措辞暗示 WSGI 由于“类似 CGI”而同样容易受到此漏洞的影响。在通常的配置中，WSGI 与 CGI 不同，不会从请求中设置 shell 环境变量，因此不会受到攻击（除非您自己根据请求数据设置 shell/OS 环境变量）。但是，无论您使用哪种部署技术，都强烈建议您升级服务器上的 bash。

返回顶部