不知道是怎么一回事，似乎總是有另一場互聯網安全災難會出現在下一個拐角。幾個月之前，每個人都為“心臟出血”漏洞感到恐慌。

現在出現的這個漏洞——Shellshock(正式的名稱是CVE-2014-6271)是一個嚴重得多的安全漏洞——正在互聯網上肆意橫行。永遠都不是恐慌的最佳時機，但是如果你感到氣餒，我不會責怪你;因為我知道自己也正在氣餒。

現在回想起來，對于心臟滴血漏洞的關切似乎放錯了地方。這是由于可能導致信息泄露的漏洞雖然非常糟糕，但是它只會導致信息泄露，而且它比較難以利用。利用Shellshock漏洞可能的攻擊面非常寬，而且它非常容易被利用，根據研究公司Fireeye的研究表明，這一漏洞已經被廣泛使用，該公司表示他們已經觀察到了幾種形式的攻擊：

◆惡意軟件droppers

◆反向shells和后門

◆數據泄露

◆拒絕服務攻擊(DDoS)

當然，不僅僅是Fireeye;每個人都在報告漏洞被利用的各種蛛絲馬跡。看看Kaspersky、Trend Micro、HP Security Research和其他的一些網站吧。

說到惠普，他們的TippingPoint部門指出他們的網絡IPS已經進行了更新，能夠識別出已知的利用Shellshock漏洞的攻擊。嚴格更新的IPS——不僅僅部署在網絡周邊，也部署在網絡中重要的節點上——可以有效防護你的系統免受已知的Shellshock漏洞攻擊。惠普當然不是唯一采用IPS的。請記住，IPS更多的是對于已知攻擊方法的防護，而不是對于這個漏洞總體上的防御。

這種特殊的bug在Bash shell中存在的時間已經超過了二十年。這意味著情況非常糟糕。首先，它意味著一個極其重要而且極其流行的程序并沒有經歷過嚴謹的審查，或者說檢查得非常馬虎。當然還有很多其他類似的問題。如果其中有一些漏洞暗中被精心利用了很多年，請不要感到吃驚。事實上，如果Shellshock這個漏洞在以前被人利用過也不讓人吃驚。

圍繞著Shellshock可能會出現各種可怕的情景。并不局限于網絡服務器攻擊。Fireeye展示了不同類型的互聯網服務，甚至包括DHCP和SSH也可能被利用來進行攻擊，只要它們使用了Bash外殼，而它們往往如此。他們展示了自動點擊欺詐、盜取主機密碼文件、利用服務器進行拒絕服務(DDOS)攻擊以及在沒有運行任何惡意軟件的服務器上建立shell的幾種方法。

這個漏洞另一個討厭的方面是有這么多的*NIX服務器都看不見/忘記了。這些服務器(通常)都沒有定期運行的自動升級程序。心臟流血漏洞也是如此，但是OpenSSL在普及程度方面完全比不上Bash，即使是使用了OpenSSL，處理的往往也不是關鍵信息……

在最初的更新被證明并不足夠之后，對開放源代碼軟件社區的信心已經很微弱了。Shellshock安全漏洞一直等到補丁就位了之后才被公布，但是很快進一步的研究就表明存在著更多相關的漏洞，這些漏洞也需要通過補丁修復。(目前Bash的版本已經解決了所有已知的漏洞——不過不包括任何一個未知的漏洞)。

當然，亡羊補牢就像是一個輸家的比賽。如同心臟出血和很多較早期的安全漏洞危機已經證明的那樣，如果你想要終結這種局面，就需要一個積極的審核政策和程序。正確執行這樣的政策能夠讓你知道你的網絡上軟件的情況。你真的想要做到這一點，因為那些已經侵入你的網絡的攻擊者們可能也已經有一個了。你至少需要和他們的反應速度一樣快。

每個人都同意這是一個苦差事，也同意這是最好的做法，但是很少有人有時間這樣做。即使這種做法從很大程度上來說只是稍微好一點的應對方式，還是能夠幫助發現網絡中未經授權的軟件，這是一個額外的好處。你對于自己擁有哪些軟件、這些軟件運行在哪里了解的越少，你花在應對Shellshock之類的危機的時間就越長。如果你的反應遲緩導致了客戶或者第三方的損失，他們可以理直氣壯地說你沒有竭盡全力保護自己的系統。