開放源碼社群近來不太平靜,先是今年4月OpenSSL被發現含有HeartBleed漏洞,9月有UNIX中被廣泛使用的Bash Shell爆出Shellshock漏洞。同為開放源碼的OpenVPN虛擬私有網路除了受到HeartBleed漏洞的影響外,現在傳出又受到Shellshock漏洞的波及。

Bash Shell為UNIX、Linux與Mac OS X所使用的殼層程式,透過命令列介面輸入指令,最近被揭露的Shellshock漏洞則允許駭客利用功能描述嵌入惡意程式。OpenVPN則是一個可建立端對端或網站對網站之安全連結的虛擬私有網路開放源碼軟體。

VPN業者Mullvad共同創辦人 Fredrik Strömberg指出,OpenVPN伺服器在特定的配置下也會受到Shellshock漏洞的影響。根據Stromberg的說明,OpenVPN擁有一些可呼叫客製化命令的配置選項,許多命令是在環境變數集中被呼叫,其中有一些可由客戶端控制。在一個用來認證帳號與密碼的配置選項中,如果用來呼叫的指令碼(script)使用了Bash殼層程式,那麼客戶端就能藉由該功能傳遞攻擊程式。Stromberg已經知會其他使用OpenVPN技術的軟體與硬體業者。

OpenVPN開發人員Gert Doering對ThreatPot表示,OpenVPN只有在少數的配置下會被Shellshock漏洞危及,建議各界別再使用2.2.x的版本,而且也不要以Bash來執行script,同時確保系統維持在最新狀態。

就在Stromberg公布此一發現不到24小時的時間,網路上便已出現相關的概念性驗證攻擊程式。(編譯/陳曉莉)

 

熱門新聞

Advertisement