一个被指比“心脏出血”还要严重的Linux安全漏洞被发现，尽管还没有发现利用该漏洞进行的攻击，但是比“心脏出血”更低的操作门槛让它比前者更加危险。

　　Bash是用于控制Linux计算机命令提示符的软件。网络安全公司Trail of Bits的首席执行官丹·吉多表示：“与心脏出血”只允许黑客窥探计算机，但不会让黑客获得计算机的控制权。Bash漏洞则不一样，黑客可以利用它对目标计算机系统进行完全控制。

　　更糟的是，利用Bash漏洞的方法更加简单，只要直接剪切和粘贴一行软件代码，就能取得效果。如此低的门槛可能会吸引来更多的黑客进行攻击，这也是安全专家担心的地方。

Linux

　　网络安全公司Rapid7的工程经理托德·比尔兹利表示Bash漏洞的严重程度被评为10级，而且利用难度被评为“低”级，这就是说会有更多的黑客利用它造成更严重的安全危机。

　　比尔兹利称：“利用这个漏洞，攻击者可能会接管计算机的整个操作系统，得以访问机密信息，并对系统进行更改等等。任何人的计算机系统，如果使用了Bash软件，都需要立即打上补丁。”

　　专家建议，有条件的企业用户可以进行非必要的服务器断网，以保护服务器不会受到Bash漏洞的攻击，直到这一漏洞得到修复为止。

360卫士的安全公告：

紧急：ShellShock: CVE-2014-6271漏洞及紧急修复方法 

关于该漏洞
　　你好，一个被指比“心脏出血”还要严重的Linux安全漏洞被发现，那就是ShellShock: CVE-2014-6271漏洞，可以让攻击者远程执行任意命令，完全控制您的服务器，比“心脏出血”更低的操作门槛，让它比前者更加危险。下面是漏洞提示原文：
　　"GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allows remote attackers to execute arbitrary code via a crafted environment, as demonstrated by vectors involving the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other situations in which setting the environment occurs across a privilege boundary from Bash execution."

如何验证
$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
在终端中运行上面的命令，如果返回有vulnerable，就说明这台服务器中枪了。
把命令中的bash替换成其他类型的shell，可以检查机器上其他shell是否中枪。

使用网站卫士修复安全问题
360网站卫士已经支持该漏洞的防护，为了您网站的安全，建议开启360网站卫士的防护功能。
注意：由于补丁修复的不完整，导致了CVE-2014-7169的爆出，可以绕过9月25日的官方补丁，导致任意文件读取漏洞。强烈建议在做好服务器补丁升级的同时，开启网站卫士的防护功能。 

如何修复系统Bug
* GNU官方补丁所在地址：http://seclists.org/oss-sec/2014/q3/650
* 各大发行版的解决方法：

Debian：
　　查看 https://www.debian.org/security/2014/dsa-3032

Ubuntu：
　　查看 http://www.ubuntu.com/usn/usn-2362-1/

CentOS:
　　# yum -y update bash

Fedora:
　　查看 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2014-6271

Redhat:

Novel/SuSE:
　　查看 http://support.novell.com/security/cve/CVE-2014-6271.html

* 其他发行版也可以参照上面的方法自行编译，或者通过发行版内置的包管理器来更新bash。