Bash，又被称为伯恩-谢尔，有一个新发现的安全漏洞。此外，这是许多Unix或LinuxWeb服务器的一个主要问题。

该漏洞与Bash如何评估环境变量有关。黑客可以利用此漏洞通过特制的变量执行shell命令。这反过来又使服务器更容易受到更大的攻击。

这本身就是安全漏洞之一，攻击者已经需要有较高的系统访问级别，从而造成破坏。不幸的是，正如RedHat的安全团队所说，“一些服务和应用程序允许未经身份验证的远程攻击者提供环境变量，并允许攻击者利用这个问题。”。

Bash bug首次使用“贝震”发现的攻击。

安全研究人员利用新的Bash漏洞发现了第一个恶意软件。

问题的根源是Bash经常被用作系统外壳。因此，如果一个应用程序通过WebHTTP或公共网关接口(CGI)调用BashShell命令，允许用户插入数据，那么Web服务器可能会受到黑客的攻击。正如AkamaiTechnologies首席安全官AndyEllis所写：“该漏洞可能会影响许多评估用户输入并通过shell调用其他应用程序的应用程序。”

最危险的情况是您的应用程序以root权限调用脚本。如果是这样，攻击者可能会在您的服务器上被谋杀。

你能做什么？首先，您应该对Web应用程序“”的输入进行消毒。如果您已经针对此类常见攻击进行了跨站点脚本编写(XSS或SQL注入)，您将已经拥有了一些保护。

接下来，我将禁用任何调用shell的CGI脚本。我还想知道为什么21年前你还在使用一种允许用户与你的Web服务交互的方式。您可能想借此机会一劳永逸地替换CGI脚本。)

之后，我会按照Akamai的建议，“从使用Bash到另一个shell”。但是，请记住，替代shell并不使用完全相同的语法，它可能不具有所有相同的功能。这意味着如果您尝试此修复，您的一些web应用程序可能会开始运行。

当然，真正的修复将是用一种新的安全的方法来替换受损的Bash。从9月24日上午开始，Bash开发人员已经修补了Bash的所有当前版本，从3.0到4.3。此时，只有Debian和RedHat获得了可供使用的打包补丁。

OpenSSH也可以通过使用AcceptEnv变量、术语和SSH_INCONERE_MARITOR进行攻击。然而，访问已经在认证会话中需要的会话是相对安全的。但是，如果您阻止非管理用户使用OpenSSH，直到底层的Bash问题得到修复，您仍然会更安全。

这是额外的工作，但如果我是系统管理员，我不会等待我的Unix或Linux分发服务器向我交付现成的补丁。我将自己编译打补丁的Bash代码，并将其放在适当的位置。

这不是恶作剧的bug。它可能会损坏您的系统。更糟糕的是，聪明的攻击者可能会留下恶意软件的地雷，然后窃取数据。

正如埃利斯所说，‘你有任何机构妥协的证据吗？不，不幸的是，这不是“不”，我们有证据表明没有妥协。相反，‘我们没有证据，我们已经跨过了这一生的漏洞。我们怀疑很多人都这样做，这使得系统中的每个人都不知道可能会发生什么(如果有的话)妥协。'

所以现在就改正这个错误，否则你会后悔的。