附9月25日给出的Linux官方解决方案

特别提醒：Linux 官方已经给出最新解决方案，已经解决被绕过的bug，建议您尽快重新完成漏洞修补。openSUSE 镜像已经给出修复方案了。

【已确认被成功利用的软件及系统】
所有安装GNU bash 版本小于或者等于4.3的Linux操作系统。

【漏洞描述】
该漏洞源于你调用的bash shell之前创建的特殊的环境变量，这些变量可以包含代码，同时会被bash执行。

【漏洞检测方法】
漏洞检测命令：env -i X=’() { (a)=>’ bash -c ‘echo date’; cat echo

修复前
输出:
当前系统时间

使用修补方案修复后
输出
date
（备注：输出结果中见到”date”字样就修复成功了。）

特别提示：该修复不会有任何影响，如果您的脚本使用以上方式定义环境变量，修复后您的脚本执行会报错。

【建议修补方案 】

请您根据Linux版本选择您需要修复的命令， 为了防止意外情况发生，建议您执行命令前先对Linux服务器系统盘打个快照，如果万一出现升级影响您服务器使用情况，可以通过回滚系统盘快照解决。

centos:(最终解决方案)
yum clean all
yum makecache
yum -y update bash

ubuntu:(最终解决方案)
apt-get update
apt-get -y install –only-upgrade bash

debian:(最终解决方案)
7.5 64bit && 32bit
apt-get update
apt-get -y install –only-upgrade bash

6.0.x 64bit
wget http://mirrors.aliyun.com/debian/pool/main/b/bash/bash_4.1-3+deb6u2_amd64.deb && dpkg -i bash_4.1-3+deb6u2_amd64.deb

6.0.x 32bit
wget http://mirrors.aliyun.com/debian/pool/main/b/bash/bash_4.1-3+deb6u2_i386.deb && dpkg -i bash_4.1-3+deb6u2_i386.deb

aliyun linux:(最终解决方案)
5.x 64bit
wget http://mirrors.aliyun.com/centos/5/updates/x86_64/RPMS/bash-3.2-33.el5_10.4.x86_64.rpm && rpm -Uvh bash-3.2-33.el5_10.4.x86_64.rpm

5.x 32bit
wget http://mirrors.aliyun.com/centos/5/updates/i386/RPMS/bash-3.2-33.el5_10.4.i386.rpm && rpm -Uvh bash-3.2-33.el5_10.4.i386.rpm

opensuse:(最终解决方案)

zypper clean
zypper refresh
zypper update -y bash

博主去和军哥了解过，军哥表示只要没开ssl就不受漏洞影响。如果大家不放心的话，可以通过下面的网站在线监测。

https://filippo.io/Heartbleed/

如果有漏洞的话会显示：

www.你的域名.com IS VULNERABLE.

如果是安全的：

All good, www.你的域名.com seems not affected!

现在介绍一个简单修复漏洞的方法，直接升级OpenSSL即可。

yum upgrade

./lnmp restart

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。美国新闻网站Vox撰文，对当天公布的OpenSSL“心脏流血”漏洞进行了全面解读。以下为文章全文：

什么是SSL？

SSL是一种流行的加密技术，可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时，就会在URL地址旁看到一个“锁”，表明你在该网站上的通讯信息都被加密。

这个“锁”表明，第三方无法读取你与该网站之间的任何通讯信息。在后台，通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户的对话，也只能看到一串随机字符串，而无法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。

SSL最早在1994年由网景推出，1990年代以来已经被所有主流浏览器采纳。最近几年，很多大型网络服务都已经默认利用这项技术加密数据。如今，谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。

什么是“心脏出血”漏洞？

多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一，研究人员宣布这款软件存在严重漏洞，可能导致用户的通讯信息暴露给监听者。OpenSSL大约两年前就已经存在这一缺陷。

工作原理：SSL标准包含一个心跳选项，允许SSL连接一端的电脑发出一条简短的信息，确认另一端的电脑仍然在线，并获取反馈。研究人员发现，可以通过巧妙的手段发出恶意心跳信息，欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗，并发送服务器内存中的信息。

该漏洞的影响大不大？

很大，因为有很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家艾德·菲尔腾(Ed Felten)表示，使用这项技术的攻击者可以通过模式匹配对信息进行分类整理，从而找出密钥、密码，以及信用卡号等个人信息。

丢失了信用卡号和密码的危害有多大，相信已经不言而喻。但密钥被盗的后果可能更加严重。这是是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥，便可读取其收到的任何信息，甚至能够利用密钥假冒服务器，欺骗用户泄露密码和其他敏感信息。

谁发现的这个问题？

该漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低，研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作，在公布该问题前就已经准备好修复方案。

谁能利用“心脏流血”漏洞？

“对于了解这项漏洞的人，要对其加以利用并不困难。”菲尔腾说。利用这项漏洞的软件在网上有很多，虽然这些软件并不像iPad应用那么容易使用，但任何拥有基本编程技能的人都能学会它的使用方法。

当然，这项漏洞对情报机构的价值或许最大，他们拥有足够的基础设施来对用户流量展开大规模拦截。我们知道，美国国家安全局(以下简称“NSA”)已经与美国电信运营商签订了秘密协议，可以进入到互联网的骨干网中。用户或许认为，Gmail和Facebook等网站上的SSL加密技术可以保护他们不受监听，但NSA 却可以借助“心脏流血”漏洞获取解密通讯信息的私钥。

虽然现在还不能确定，但如果NSA在“心脏流血”漏洞公之于众前就已经发现这一漏洞，也并不出人意料。OpenSSL是当今应用最广泛的加密软件之一，所以可以肯定的是，NSA的安全专家已经非常细致地研究过它的源代码。

有多少网站受到影响？

目前还没有具体的统计数据，但发现该漏洞的研究人员指出，当今最热门的两大网络服务器Apache和nginx都使用OpenSSL。总体来看，这两种服务器约占全球网站总数的三分之二。SSL还被用在其他互联网软件中，比如桌面电子邮件客户端和聊天软件。

发现该漏洞的研究人员几天前就已经通知OpenSSL团队和重要的利益相关者。这让OpenSSL得以在漏洞公布当天就发布了修复版本。为了解决该问题，各大网站需要尽快安装最新版OpenSSL。

雅虎发言人表示：“我们的团队已经在雅虎的主要资产中(包括雅虎主页、雅虎搜索、雅虎电邮、雅虎财经、雅虎体育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署了适当的修复措施，我们目前正在努力为旗下的其他网站部署修复措施。”

谷歌表示：“我们已经评估了SSL漏洞，并且给谷歌的关键服务打上了补丁。”Facebook称，在该漏洞公开时，该公司已经解决了这一问题。

微软发言人也表示：“我们正在关注OpenSSL问题的报道。如果确实对我们的设备和服务有影响，我们会采取必要措施保护用户。”

用户应当如何应对该问题？

不幸的是，如果访问了受影响的网站，用户无法采取任何自保措施。受影响的网站的管理员需要升级软件，才能为用户提供适当的保护。

不过，一旦受影响的网站修复了这一问题，用户便可以通过修改密码来保护自己。攻击者或许已经拦截了用户的密码，但用户无法知道自己的密码是否已被他人窃取。

因为自身的特殊性，RDP一般都是可以绕过防火墙的，而且该服务在几乎所有平台上都默认以SYSTEM身份运行于内核模式。微软发现，其中的一个漏洞可以直接允许远程攻击者很轻松地执行任意代码，进而获取主机和客户端系统的最高权限。

微软也提到了两种可以幸免的例外情况，一是开启终端服务网关(TSG)的服务器，二是使用了RemoteFX远程桌面功能的Windows Server 2008 R2 SP1，它们都不受影响。

如果愿意，用户还可以开启远程桌面的网络级别认证(NLA)服务，要求在与远程桌面服务器建立会话连接之前进行身份确认。这时候漏洞依然存在，并且可以利用，但必须通过身份认证才行。

微软表示，这个漏洞是秘密上报的，而且RDP在系统中默认关闭，所以目前还没有发现攻击现象，但因为问题严重，预计未来三十天内就会出现攻击代码。

需要使用远程桌面功能的用户还请尽快更新编号KB2621440、KB2667402两个补丁，其中Windows XP/Vista/Server 2003/Server 2008只需要更新第一个即可。

原文转载如下：

由于脚本编写时出错导致可能存在pathinfo漏洞，请所有lnmp用户检查一下php的pathinfo设置！！！

编辑/usr/local/php/etc/php.ini 文件，搜索 cgi.fix_pathinfo ，如果cgi.fix_pathinfo 该行为 ; cgi.fix_pathinfo=0 请修改为 cgi.fix_pathinfo=0
或直接执行：sed -i ’s/; cgi.fix_pathinfo=0/cgi.fix_pathinfo=0/g’ /usr/local/php/etc/php.ini

再执行：/usr/local/php/sbin/php-fpm restart重启

如果是cgi.fix_pathinfo=0则没问题，不需要修改。
请各位lnmp用户检查一下，防止pathinfo漏洞给网站或服务器带来安全隐患。

安装包文件都已经更新。
2011.6.9，9:30分以后下载安装的脚本里已解决此问题。

感谢lnmp用户的反馈，感谢各位对lnmp的支持。

漏洞说明：WHMCS没有严格校验订购产品的数量，用户可以输入负数导致账单变成负数了，以后续费vps 的时候可以抵消vps的钱，这样vps就续费免单了。

这个漏洞需要VPS能够添加额外的选项，比如IP地址、备份空间等等。 管理员解决方法，查看续费为0的账单就可以了， 勤劳的管理员不会被这个漏洞利用。在这里提醒，非法利用这个漏洞可能导致你的VPS被删除。

　　原文：

　　The wiki.php.net boxwas compromised and the attackers were able to collect wiki account credentials. No other machines in the php.net infrastructure appear to have been affected. Our biggest concern is, of course, the integrity of our source code. We did an extensive code audit and looked at every commit since 5.3.5 to make sure that no stolen accounts were used to inject anything malicious. Nothing was found. The compromised machine has been wiped and we are forcing a password change for all svn accounts.
　　We are still investigating the details of the attack which combined a vulnerability in the Wiki software with a Linux root exploit.

　　内容大致是：

　　由于wiki账号被盗，PHP的代码源极有可能被污染，当然，PHP团队已经做最大的努力以保证自PHP5.3.5版本的代码没有收到污染，并且强迫SVN修改现有的密码。

　　而事件目前的状态是，他们仍然没法锁定漏洞所在，因为他们仍在排查。

　　一个很明显的问题是，PHP5.3.6以及其后续版本的代码已经被污染，目前只能把未受污染的代码版本确保到PHP5.3.5，下载PHP代码的人，要小心了。

　　而windows.php.net和wiki.php.net也已经暂停访问。

漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以

location ~ .php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}

的方式支持对php的解析，location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
那么假设存在一个http://www.80sec.com/80sec.jpg，我们以如下的方式去访问

http://www.80sec.com/80sec.jpg/80sec.php

将会得到一个URI

/80sec.jpg/80sec.php

经过location指令，该请求将会交给后端的fastcgi处理，nginx为其设置环境变量SCRIPT_FILENAME，内容为

/scripts/80sec.jpg/80sec.php

而在其他的webserver如lighttpd当中，我们发现其中的SCRIPT_FILENAME被正确的设置为

/scripts/80sec.jpg

所以不存在此问题。
后端的fastcgi在接受到该选项时，会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理，一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用，所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字，查找的方式也是查看文件是否存在，这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为

/scripts/80sec.jpg和80sec.php

最后，以/scripts/80sec.jpg作为此次请求需要执行的脚本，攻击者就可以实现让nginx以php来解析任何类型的文件了。

POC： 访问一个nginx来支持php的站点，在一个任何资源的文件如robots.txt后面加上/80sec.php，这个时候你可以看到如下的区别：

访问http://www.80sec.com/robots.txt

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes

访问访问http://www.80sec.com/robots.txt/80sec.php

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6

其中的Content-Type的变化说明了后端负责解析的变化，该站点就可能存在漏洞。

漏洞厂商：http://www.nginx.org

解决方案：

我们已经尝试联系官方，但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

或者

if ( $fastcgi_script_name ~ ..*/.*php ) {
return 403;
}

转自：nginx文件类型错误解析漏洞