英文版 http://blog.erratasec.com/2014/09/bash-bug-as-big-as-heartbleed.html
中文版 http://www.ithome.com.tw/news/91107
Unix /Linux 的Bash Shell 出現重大漏洞，危險等級可能超越 Heartbleed
美國電腦緊急應變中心（US-CERT）、紅帽，及多家資安業者於週三（9/24）警告，
在UNIX平台上被廣泛使用的Bash Shell含有嚴重漏洞，該漏洞可能讓駭客遠端執行
惡意程式，影響GNU、Linux及Mac OS等基於UNIX的各種作業系統。有資安業者認為
，此一被稱為Shell Shock的漏洞影響程度可能與Heartbleed相當，甚至更甚於
Heartbleed。
Bash Shell為UNIX的殼層程式，不但是GNU作業系統的殼層程式，也是Linux及
Mac OS X的預設殼層程式，算是各種Linux版本上最常見的公用程式。它採用命令列
介面，允許使用者輸入文字命令，也可讓使用者遠端下達指令（如透過ssh或 telnet）。
此一漏洞是由法國的軟體開發人員Stéphane Chazelas所發現，負責維護Bash Shell的
Chet Ramey已經修補該漏洞，更新了自Bash 3.0至Bash 4.3的版本，各界則統一於週三
公佈該漏洞。
根據開放源碼安全郵件論壇OSS-Sec的說明，Bash不僅支援殼層變數的匯出，也可藉由程
序環境至子程序將殼層功能匯出至其他Bash實例，目前Bash的各種版本使用由功能名稱
命名的環境變數，在環境變數中是以() {為始於該環境中傳遞功能定義，此一漏洞的產
生源自於在處理功能定義後，Bash並沒有就此停住，它繼續解析與執行功能定義之後的
其他殼層命令。因此，若有駭客在功能定義後加入惡意命令，就會加重漏洞的嚴重性。
Errata Security執行長Robert Graham表示，Shell Shock漏洞可能與Heartbleed一樣
嚴重。原因之一為有大量的軟體與Bash Shell互動，如同有大量的產品使用內含
Heartbleed漏洞的OpenSSL一樣，因此根本無法估計可能受影響的軟體數量。
其次是業者可能會修補已知含有漏洞的系統，但仍有不少含有漏洞的系統被忽視，特別
是物聯網裝置，像是大部份的視訊攝影機韌體都內含Bash腳本程式，視訊攝影機韌體不
但較少被修補，同時也最可能曝露弱點。
雲端安全聯盟Jim Reavis表示，許多Linux及其他UNIX系統的程式都使用Bash來設定環
境變數，然後藉由環境變數來執行其他程式。例如執行CGI scripts的web伺服器，甚至
信箱或網頁的用戶端傳送檔案到外部程式來呈現影音或聲音檔。簡單說，這個漏洞讓攻
擊者可以遠端下達並執行任意的命令，例如在網頁請求（web request）裡設定headers
，或者是設定奇怪的MIME類型。
此外，有別於Heartbleed漏洞隻影響特定的OpenSSL版本，Shell Shock漏洞已存在很長
的一段時間，第一個受到該漏洞影響的Bash 3.0是在2004年7月釋出，這代表有許多老
舊的網路裝置皆受到該漏洞的影響。
US-CERT與各家資安業者皆督促業者儘快進行更新，目前包括CentOS、Debian、紅帽與
Ubuntu皆已釋出更新版：
　GNU Bash patch
　CentOS
　Debian安全通告
　紅帽安全通告
　Ubuntu安全通告

其實可以用homebrew安裝最新版的bash...只是系統內建的版本還會在...根本只能靠蘋果放安全更新...@@ps. 內建版本的zsh也中標了...(zsh相容bash的東西)

樓上... 內建zsh沒任何問題請不要幹在zsh裡面跑bash然後說zsh中獎這種蠢事好嗎然後這東西其實對client端影響其實不是太大是說... 其實很多網路設備根本沒在用bash吧...然後像視訊攝影機韌體<< 這種東西根本壓根不用bashbash是在是個太高貴的東西 很多嵌入式設備根本用不起功能強體積也肥大 很多嵌入式設備根本吃不消 用都不用不過這東西對工作站或share hosting影響就不小了

http://tinyurl.com/m3tfqyq Mac的非官方修正基本上就是自己抓bash，抓patch然後apply，重編最後取代掉原本的bash

client 也是有影響, 光是 dhcp 就可以讓你中獎了http://bit.ly/ZfhKf0

看不太懂@@但希望Apple趕快更新

打開終端機，那個可以讓你輸入指令的介面就是bash。

dhcp? 別的系統不管 OS X內部一定用純sh跑不過OS X有不少app是用bash倒是沒錯回樓上... 其實我的是zsh (逃

就算用zsh,他還是可以用/bin/sh 或/bin/bash 使用這個漏洞不是嘛??

對普通使用者危險性還好，這必須要能在你機子上跑bash「或者」利用apache httpd cgi plug-in的漏洞去跑也就是說對方一定得拿到你tty或者你有開cgi另外樓上講對了 bash在嵌入系統極為少見，有busybox用就已經是帝王般的享受了 還bash.... XD

用bash根本豪邁啊www 在用mb計算資源的世界裡用一個快能以mb(?)計算資源消耗量的shell XDD回某p 沒錯 他可以跑bash問題如果他有權限幫你決定要跑bash的話...除非是太閒沒事亂玩 不然直接跑指令不就好...就是要把env傳給bash才能藉此塞指令假如你沒給他跑bash的機會哪來的方法跑?

喔喔，了解了

http://goo.gl/S4uNVW 看起來換到Bash 4.3.26就安全了補推 有在架站尤其是公開服務的要小心