https://paste.plurk.com/show/2003120/
Unix /Linux 的Bash Shell 出現重大漏洞，危險等級可能超越 Heartbleed
http://www.ithome.com.tw/news/91107
Vulnerability Summary for CVE-2014-6271
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
請參考上述資訊，並更新bash。

哇，每一台都中獎

這個應該全中槍吧 XD

我參照上面的測試方法 Ubuntu沒事 Mac中獎了 xDDD

全中，arch linux / openwrt / bsd

借標題一問 現在大家都在更新嗎? 我正在安裝MINT 結果..現在裝到語言套件下載中..469B/s..(剩餘時間為 901:13)不知道是不是更新伺服器的問題... Orz....

更新伺服器的問題吧

五樓可以把 repo 換到台灣的高速網路中心

其實這個問題安全性影響不大，用 web 服務然後呼叫 bash程式才比較有影響。網路上誇大了問題讓太多人驚恐了目前比較少人用 bash 寫 cgi 了

嵌入式機器開 php 太肥大，或者admin非資工背景的時候bash cgi 就很常見，至少我就是然後不只有 bash cgi吧？

openwrt不是用busybox? 哪來中獎?至於BSD系 不一定會用/有bashanyway 這問題只有bash有 其他shell都沒事所以某些系統根本沒中的可能再說也要有跑bash才會出事但現在很少有服務會跑bash了總覺得上面這句好像哪裡怪怪XDDD 範圍好像太大啦www

嵌入式的 cgi 不大流行使用 bash script 來開發

bash都用來跑後端的cron了吧實際影響不大

我早期接觸過的專案 cgi 當道時候都是使用 perl 為主有些會用 c 撰寫編譯成為 binary 檔案方式執行使用目前我是很少看到有專案使用 bash script 當 cgi 呼叫最多只有看到 web 那邊接收到相關東西之後，最後會去執行 bash script 這類間接的方式

全中:centos6-7,mint,debian7,openindiana,rhel6

嵌入式當然不流行bash script啊 bash都不想用了bash耗的資源對資源寶貴的嵌入式系統來說太過肥大了

如果把bash移掉呢？

你可以試試 應該還不至於開不了機啦(至少kernel能開XD)

需要經常修改的情況，純C 並不是很方便的選擇至於有多少人在用 bash cgi，不是已經有人發表文章了？bash 什麼功能都要自已來，沒有現成的 cgi lib 可用本來就不是拿來寫專案的，但為什麼還這麼多 bash cgi ?http://ppt.cc/cXtu

shell script寫cgi 某些地方確實會見到不過shell不一定用bash跑 也不是所有sh都是bash的link至於那些說有很多有bash cgi有掃到洞的不知道從列表裡把同時還有heartbleed的砍掉會剩多少?反正這漏洞雖然有一定嚴重性 但並不是所有人都會出事

看起來只要更新了就好，最慘就是自己重編一下

不過出不出事是一回事 沒真的忙翻天還是更新一下比較好至少省得哪天漏洞全串起來就慘了XD其實也不見得要自己重編啦 像debian系近期都改dash(shell script部分) 所以更新就沒那麼趕XD不過有用到直接指名bash的shell script就自己要小心www至於BSD/OS X這些 shell script都是用純正sh跑更沒有事XDD (雖然可能還是會出現指名bash就是...)

幾個朋友測試一下，只要透過 Apache 的 mod_cgi 這類 cgi 架構方式運作，像是 cgi 程式自己本身使用 bash 所開發執行，或是 cgi 程式本身用 c 開發用到 system() 間接地呼叫 bash 來運作執行命令 ，甚至包含 perl/python用到 popen,system 函數呼叫間接地呼叫 bash 來運作執行的都會受到影響，所以可以理解安全問題頗大。不過好消息是 mod_php 下執行的 bash script 沒有受到影響。只是 fastcgi 下的 php 就..........

樓上 有個小地方要修正 那些都是呼叫"sh"來執行的也就是只有在sh=bash的狀況下才會出事(雖然不少distro都是如此XD