ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳສຳຫລັບຊຽ່ວຊານ

ເລື່ອງ:​ ລະ​ວັງ​ໄພ ຊ່ອງ​ໂຫ່ວໃນ​ຊ໋ອບ​ແວ Bash ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ສົ່ງ​ຄຳ​ສັ່ງ​ອັນຕະລາຍ​ໄປ​ປະ​ມວນ​ຜົນ​ຍັງ​ເຄື່ອງ​ຂອງ​ເຫຍື່ອ​ໄດ້​ທັນ​ທີ (Shellshock, CVE-2014-6271, CVE-2014-7169) 

ປະເພດໄພຄຸກຄາມ:​  Intrusion

ຂໍ້ມູນທົ່ວໄປ 

ໂດຍ​ປົກກະຕິ​ການ​ໃຊ້​ງານ​ລະບົບ​ປະຕິບັດການ​ປະ​ເພດ​ຍູ​ນິກ (Unix ຫຼື Unix-liked) ຢ່າງ​ເຊັ່ນ Linux ຫຼື FreeBSD ຖືກ​ອອກ​ແບບ​ມາ​ໃຫ້​ໃຊ້​ງານ​ໃນ​ລັກສະນະ Command Line ມາ​ຕັ້ງ​ແຕ່​ຕົ້ນ ເຖິງແມ່ນວ່າ​ປະຈຸບັນ​ຈະ​ມີ​ການ​ພັດທະນາ​ໃຫ້​ມີ​ການເຮັດວຽກ​ຜ່ານ Graphic User Interface (GUI) ແຕ່​ການເຮັດວຽກໃນ​ລັກສະນະ Command Line ທີ່​ໃຊ້​ງານ​ຜ່ານ​ຊ໋ອບ​ແວປະ​ເພດ Shell ກໍ​ຍັງ​ຖື​ເປັນ​ສ່ວນ​ປະກອບ​ພື້ນ​ຖານ​ສຳຄັນ​ຂອງ​ລະບົບ​ປະຕິບັດການ​ປະ​ເພດ​ຍູ​ນິກທີ່​ຍັງ​ບໍ່​ສາມາດ​ຍົກ​ເລີກ​ການ​ໃຊ້​ງານ​ໄດ້ ເນື່ອງ​ຈາກ​ຍັງມີ​ແອບ​ພິ​ເຄ​ຊັນ​ອື່ນໆ​ອີກ​ເປັນ​ຈຳນວນ​ຫລາຍ​ທີ່​ຍັງ​ຕ້ອງ​ການ​ຄວາມ​ສາມາດ​ຂອງ Shell ໃນ​ການເຮັດວຽກ ໂດຍ​ຕົວ​ຢ່າງ​ຂອງ​ຊ໋ອບແວ​ທີ່​ເຮັດວຽກ​ເປັນ Shell ເຊັ່ນ Csh Ksh Ash Dash ຫຼື Bash ໂດຍ​ຊ໋ອບ​ແວ Bash ຖື​ເປັນ​ຊ໋ອບແວ​ປະ​ເພດ Shell ທີ່​ໄດ້ຮັບ​ຄວາມ​ນິຍົມ​ສູງ​ທີ່ສຸດ ເນື່ອງ​ຈາກ​ຖືກ​ນຳ​ມາ​ໃຊ້​ເປັນ​ຊ໋ອບ​ແວ Shell ຫຼັກ​ຂອງ​ລະບົບ​ປະຕິບັດການ Linux ເກືອບ​ທຸກ Distribution ໂດຍ​ຕົວ​ຢ່າງ​ຂອງ​ແອບ​ພິ​ເຄ​ຊັນ​ທີ່​ມີ​ການ​ເອີ້ນ​ໃຊ້​ຊ໋ອບ​ແວ Bash ໃນ​ການເຮັດວຽກ​ນີ້ ເຊັ່ນ ເວັບ​ແອບ​ພິ​ເຄ​ຊັນ​ປະ​ເພດ CGI ແລະ ​ແອບ​ພິ​ເຄ​ຊັນ​ລະບົບ ເຊັ່ນ DHCP ທີ່​ມີ​ການເຮັດວຽກ​ຮ່ວມ​ກັບ​ຊ໋ອບ​ແວ Shell ເພື່ອ​ຮັບ​ຄ່າ​ຜ່ານ​ພາ​ລາ​ມິ​ເຕີ​ບາງຢ່າງ​ມາ​ປະ​ມວນ​ຜົນ.

ເມື່ອ​ວັນທີ 24 ກັນຍາ 2014 ບໍລິສັດ Akamai ຊຶ່ງ​ໃຫ້​ບໍລິການ​ເຄືອ​ຂ່າຍ​ສົ່ງ​ຄອນ​ເທນຄວາມ​ໄວ​ສູງ (Content Delivery Network) ໄດ້​ເຜີຍແຜ່​ບົດ​ຄວາມ​ໃນ​ເວບ​ໄຊ blogs.akamai.com ໂດຍ​ມີ​ເນື້ອ​ຫາ​ວ່າ​ນັກ​ວິ​ໄຈ​ຂອງ Akamai ຊື່ Stephane Chazelas  [1] ໄດ້​ຄົ້ນ​ພົບ​ຊ່ອງ​ໂຫວ່​ກ່ຽວກັບ​ຊ໋ອບແວ Bash ໂດຍ​ຖືກ​ເອີ້ນວ່າ Shellshock ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ເຮັດໃຫ້​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ສັ່ງ​ລັນ​ຄຳ​ສັ່ງ​ອັນຕະລາຍ​ເທິງ​ເຄື່ອງ​ໃຫ້​ບໍລິການ​ຂອງ​ລະບົບ​ໄດ້​ທັນ​ທີ ແລະ​ ໄດ້​ມີ​ການ​ຢືນຢັນ​ຈາກ​ບໍລິສັດ​ແລ້ວ​ເຖິງ​ບັນຫາ​ຊ່ອງ​ໂຫ່ວດັ່ງ​ກ່າວ ລວມ​ເຖິງ​ມີ​ການ​ເຜີຍແຜ່​ຂໍ້​ມູນ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ໄປ​ຍັງ​ເວບ​ໄຊ CVE ແລ້ວ​ເຊັ່ນ​ກັນ  [2]

ທາງ​ຜູ້​ພັດທະນາ​ຊ໋ອບແວ Bash ໄດ້​ເຜີຍແຜ່ Patch ອັບ​ເດດ​ສຳລັບ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫ່ວ CVE-2014-6271 ໂດຍ​ແບ່ງ​ເປັນ​ຫຼາຍ​ເວີ​ຊັນ ຊຶ່ງ​ໃນ​ທີ່​ນີ້​ອະທິບາຍ​ໃນ​ກໍລະນີ​ຂອງ​ເວີຊັນ​ບາງ​ສ່ວນ​ໄວ້​ດັ່ງ​ນີ້

ສຳລັບ​ຊ໋ອບແວ Bash ເວີ​ຊັນ 3.0 Patch 17  [3]

ສຳລັບ​ຊ໋ອບແວ Bash ເວີ​ຊັນ 3.1 Patch 18  [4]

ສຳລັບ​ຊ໋ອບແວ Bash ເວີ​ຊັນ 3.2 Patch 52  [5]

ສຳລັບ​ຊ໋ອບແວ Bash ເວີ​ຊັນ 4.1 Patch 12  [6]

ສຳລັບ​ຊ໋ອບແວ Bash ເວີ​ຊັນ 4.2 Patch 48  [7]

ສຳລັບ​ຊ໋ອບແວ Bash ເວີ​ຊັນ 4.3 Patch 25  [8]

ຢ່າງໃດ​ກໍ່ຕາມ​ຈາກ​ສະຖານະການ​ດັ່ງ​ກ່າວ ປະຈຸບັນ​ຍັງມີ​ຜູ້​ກວດ​ພົບ​ວ່າ​ຍັງ​ສາມາດ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​ຂອງ​ຊ໋ອບ​ແວ Bash ໄດ້​ຢູ່ ພຽງ​ແຕ່​ປ່ຽນ​ແປງ​ວິທີ​ການ​ໃນ​ການ​ໂຈມ​ຕີ  [9] ໂດຍ​ຈັດ​ເປັນ​ຊ່ອງ​ໂຫ່ວໃໝ່​ ແລະ ​ໄດ້​ມີ​ການ​ອອກ  ​ໝາຍ​ເລກ CVE ເພີ່ມເຕີ່ມ​ໃນ​ກໍລະນີ​ດັ່ງ​ກ່າວ​ແລ້ວ ໂດຍ​ມີ​ໝາຍ​ເລກ​ເປັນ CVE-2014-7169  [10]

ສຳລັບ​ຊ່ອງ​ໂຫ່ວ CVE-2014-6271 ນີ້ ພົບ​ຂໍ້​ມູນ​ວ່າ​ໜຶ່ງ​ໃນ​ທີມ​ຜູ້​ພັດທະນາ​ຊ໋ອບ​ແວ໋ Bash ຊື່ Chet Ramey ໄດ້​ມີການ​ເຜີຍແຜ່ Patch ສຳລັບ​ແກ້​ໄຂ​ບັນຫາ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ  [11] ແລະ​ ຈາກ​ການ​ກວດ​ສອບ​ເພີ່ມເຕີມ​ພົບ​ວ່າ Debian  [12] ແລະ Ubuntu  [13] ໄດ້​ມີ​ການ​ເຜີຍແຜ່​ອັບ​ເດດ​ຂອງ​ຊ໋ອບ​ແວ Bash ຊຶ່ງ​ແກ້​ໄຂ​ບັນຫາ​ຊ່ອງ​ໂຫ່ວຕາມ​ຂໍ້​ມູນ​ຂອງ CVE ທັງ 2 ສ່ວນ​ນີ້​ແລ້ວ ແຕ່​ຢ່າງໃດ​ກໍ່ຕາມ​ສຳລັບ​ຜູ້​ໃຊ້​ງານ​ລະບົບ​ປະຕິບັດການ Linux ໃນ Distribution ອື່ນໆ ສາມາດ​ຕິດ​ຕາມ​ການ​ແກ້​ໄຂ​ບັນຫາ​ໄດ້​ຈາກ​ເວບ​ໄຊ​ທາງ​ການ​ຂອງ​ແຕ່​ລະ Distribution

ສຳລັບ​ຜູ້​ໃຊ້​ງານ​ລະບົບ​ປະຕິບັດການ Mac OS X ເວີຊັນ​ລ່າ​ສຸດ 10.9.5 ພົບ​ວ່າ​ມີ​ການ​ຕິດ​ຕັ້ງ​ຊ໋ອບແວ Bash ເວີຊັນ 3.2.51 ຊຶ່ງ​ຈາກ​ການ​ກວດ​ສອບ​ຂໍ້​ມູນ​ຂ່າວ​ເທິງ​ອິນ​ເຕີເນັດ​ຮູ້ວ່າ​ຂະນະ​ນີ້​ທາງ Apple ໄດ້ຮັບ​ຮູ້​ບັນຫາ​ນີ້​ແລ້ວ ແລະ ​ທາງ Apple ຈະ​ມີ​ການ​ເຜີຍແຜ່​ເວີຊັນ​ອັບ​ເດດ​ຂອງ​ຊ໋ອບ​ແວ Bash ໃນ​ໄວໆນີ້  [14]

ຜົນ​ກະທົບ 

ຊ່ອງ​ໂຫ່ວນີ້​ມີ​ຜົນ​ກະທົບ​ທັງ​ຜູ້​ໃຊ້​ ແລະ ​ລະບົບ​ທີ່​ໃຫ້​ບໍລິການ ຊຶ່ງ​ທັງ​ສອງ​ກຸ່ມ​ນີ້​ມີ​ໂອ​ກາດ​ທີ່​ຈະ​ຖືກ​ໂຈມ​ຕີ​ຈາກ​ຊ່ອງ​ໂຫ່ວດັ່ງ​ກ່າວ ເພື່ອ​ສັ່ງ​ໃຫ້​ປະ​ມວນ​ຜົນ​ຄຳ​ສັ່ງ​ອັນຕະລາຍ​ຈາກ​ໄລຍະ​ໄກ ຫຼື ​ທີ່​ຮຽກວ່າ Remote Code Execution

 [ຕົວ​ຢ່າງ​ຜົນ​ກະທົບ​ທີ່​ເກີດ​ກັບ​ຜູ້​ໃຊ້]

1. ຜູ້​ໃຊ້​ງານ​ທີ່​ໃຊ້​ລະບົບ​ປະຕິບັດການ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ເຊື່ອມ​ຕໍ່​ກັບ WiFi ທີ່​ຜູ້​ບໍ່​ຫວັງ​ດີ​ຕຽມ​ໄວ້ ກໍ​ມີ​ໂອ​ກາດ​ທີ່​ຜູ້​ໃຊ້​ງານ​ຈະ​ຖືກ​ໂຈມ​ຕີ​ຜ່ານ DHCP ໂດຍ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ໃຊ້​ວິທີ​ການ​ຝັງ​ຄຳ​ສັ່ງ​ອັນຕະລາຍ ​ແລະ ສົ່ງ​ເຂົ້າ​ມາ​ທາງ​ພາ​ລາ​ມິ​ເຕີລ໌​ຂອງ DHCP ຊຶ່ງ​ເຄື່ອງ​ຜູ້​ໃຊ້​ງານ​ຈະ​ຮັບ​ຄຳ​ສັ່ງ​ດັ່ງ​ກ່າວ​ມາ​ປະ​ມວນ​ຜົນ​ໃນ​ທັນ​ທີ

 [ຕົວ​ຢ່າງ​ຜົນ​ກະທົບ​ທີ່​ເກີດ​ກັບ​ລະບົບ]

2. ຜູ້​ໃຫ້​ບໍລິການ​ທີ່​ມີ​ການ​ໃຊ້​ງານ​ເວບ​ແອບ​ພິ​ເຄ​ຊັນ​ປະ​ເພດ CGI ເຊັ່ນ PHP-CGI ທີ່​ມີ​ການ​ຮັບ​ສົ່ງ​ຄ່າ​ຜ່ານ​ຊ໋ອບແວ Bash ສາມາດ​ຖືກ​ໂຈມ​ຕີ​ໄດ້ ໂດຍ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ໃຊ້​ວິທີ​ການ​ສົ່ງ​ຄຳ​ສັ່ງ​ອັນຕະລາຍ​ຜ່ານ​ພາ​ລາ​ມິ​ເຕີ​ຂອງ HTTP Header ແລະ ​ເຄື່ອງ​ໃຫ້​ບໍລິການ​ເວບ​ຈະ​ຮັບ​ຄຳ​ສັ່ງ​ດັ່ງ​ກ່າວ​ມາ​ປະ​ມວນ​ຜົນ​ໃນ​ທັນ​ທີ ຢ່າງໃດ​ກໍ່​ຕາມ​ຈາກ​ການ​ກວດ​ສອບ​ພົບ​ວ່າ​ການ​ໃຊ້​ງານ​ຂອງ PHP ຜ່ານ Mod PHP ຂອງ Apache ໃນ​ຮູບ​ແບບ​ປົກກະຕິ ຫຼື​ລັກສະນະ​ອື່ນໆ​ທີ່​ຄ້າຍ​ຄື​ກັນ​ຈະ​ບໍ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ ເນື່ອງ​ຈາກ​ບໍ່​ໄດ້​ໃຊ້​ວິທີ​ການ​ສົ່ງ​ຄ່າ​ພາ​ລາ​ມິ​ເຕີ​ໃນ​ລັກສະນະ​ດຽວ​ກັບ CGI

ຢ່າງໃດ​ກໍ່ຕາມ​ຮູບ​ແບບ​ຂອງ​ການ​ໂຈມ​ຕີ​ດ້ວຍ​ຊ່ອງ​ໂຫ່ວ​ດັ່ງ​ກ່າວ​ອາດ​ບໍ່​ໄດ້​ຈຳ​ກັດ​ຢູ່ໃນ​ກໍລະນີ​ທີ່​ລະ​ບຸ​ມາ​ເທົ່າ​ນັ້ນ ແລະ​ອາດຈະ​ບໍ່​ໄດ້​ຖືກ​ຄົ້ນ​ພົບ​ໃນ​ຊ່ວງ​ເວລາ​ນີ້ ຊຶ່ງ​ຫາກ​ມີ​ຄວາມ​ຄືບ​ໜ້າ​ໃດໆ ທາງ​ລາວເຊີດ​ຈະ​ແຈ້ງເຕື່ອນໃຫ້​ຮູ້​ຕໍ່ໄປ

ລະບົບ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ

ສາມາດ​ກວດ​ສອບ​ຜົນ​ກະທົບ​ຂອງ​ຊ່ອງ​ໂຫ່ວ​ດັ່ງ​ກ່າວ​ໄດ້ 2 ທາງ

1. ທົດສອບ​ລັນ​ຄຳ​ສັ່ງ  [9]

$env X='() { (a)=>\' bash -c "echo date"

ຈາກ​ຄຳ​ສັ່ງ​ດັ່ງ​ກ່າວ ເປັນ​ການສ້າງ​ໄຟລ໌​ຊື່ echo ແລະ​ ມີ​ຂໍ້​ມູນ​ມື້​ ເວລາ​ ຢູ່​ພາຍ​ໃນ ຫາກ​ຜູ້​ໃຊ້​ພົບ​ໄຟລ໌​ດັ່ງ​ກ່າວ​ສະແດງ​ວ່າ​ລະບົບ​ທີ່​ໃຊ້​ງານ​ມີ​ຊ່ອງ​ໂຫ່ວຂອງ​ຊ໋ອບແວ Bash ຢູ່ ດັ່ງ​ຮູບ​ທີ 1

News Images: bash.png

ຮູບ​ທີ 1 ການ​ທົດສອບ​ລັນ​ຄຳ​ສັ່ງ​ເພື່ອ​ກວດ​ສອບ​ຊ່ອງ​ໂຫ່ວຂອງ​ຊອບແວ Bash

2. ກວດ​ສອບ​ເວີຊັນ​ຂອງ​ຊ໋ອບ​ແວ Bash ທີ່​ໃຊ້​ງານ ໂດຍ​ພິມ​ຄຳ​ສັ່ງ bash --version ດັ່ງ​ຕົວ​ຢ່າງ​ໃນ​ຮູບ​ທີ 2

News Images: bash1.png

ຮູບ​ທີ 2 ການ​ກວດ​ສອບ​ເວີຊັນ​ຂອງ​ຊອບ​ແວ Bash

 [ເວີຊັນ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ຈາກ CVE-2014-6271]

ລະບົບ​ທີ່​ໃຊ້​ງານ​ຊ໋ອບແວ Bash ໃນ​ເວີຊັນ 3.0.17, 3.1.18, 3.2.52, 4.1.12, 4.2.48, 4.3.25 ຫຼື ​ຕ່ຳ​ກວ່າ

 [ເວີຊັນ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ຈາກ CVE-2014-7169]

ລະບົບ​ທີ່​ໃຊ້​ງານ​ຊ໋ອບ​ແວ Bash ໃນ​ທຸກ​ເວີ​ຊັນ ຍົກ​ເວັ້ນ​ທີ່​ມີ​ການ​ອັບ​ເດດ Patch ຂອງ​ຊ່ອງ​ໂຫ່ວ CVE-2014-7169 ເຊັ່ນ ຊ໋ອບແວ Bash ໃນ Debian ແລະ Ubuntu

ເວີ​ຊັນ​ຂອງ​ຊ໋ອບ​ແວ Bash ເທິງ​ລະບົບ​ປະຕິບັດການ Linux ນັ້ນ ອາດ​ມີ​ໝາຍ​ເລກ​ເວີ​ຊັນ​ທີ່​ເບິ່ງ​ຄືເປັນ​ສ່ວນຫນຶ່ງ​ຂອງ​ເວີຊັ່ນ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ດັ່ງ​ທີ່​ລະ​ບຸ​ໄວ້​ຂ້າງ​ຕົ້ນ ແຕ່​ໃນ​ຄວາມ​ເປັນ​ຈິງ​ຮູບ​ແບບ​ການ​ບໍລິຫານ​ຈັດການ​ເທິງ​ລະບົບ​ປະຕິບັດການ Linux ນັ້ນ ອາດຈະ​ບໍ່​ໄດ້​ມີ​ການ​ໃຊ້​ງານ​ຊ໋ອບແວ​ເວີ​ຊັນ​ລ່າ​ສຸດ​ສະເໝີ​ໄປ ແຕ່​ມີ​ການ Patch ເພື່ອ​ແກ້​ໄຂ​ບັນຫາ​ຊ່ອງ​ໂຫ່ວ​ຮຽບຮ້ອຍ​ແລ້ວ ດັ່ງ​ນັ້ນ ຜູ້​ໃຊ້​ງານ​ຈຶ່ງ​ຄວນ​ກວດ​ສອບ​ຈາກ​ເວັບ​ໄຊ​ທາງ​ການ​ຂອງ​ແຕ່​ລະ Distribution ອີກ​ເທື່ອ ເຊັ່ນ Debian  [15], Ubuntu [16] Red Hat Enterprise Linux [17] ຫຼື ​ກວດ​ສອບ​ຈາກ​ເອກະສານ Changelog ຂອງ​ຊອບແວ Bash ໃນ Distribution ທີ່​ໃຊ້​ງານ​ຢູ່

ຂໍ້​ແນະ​ນຳ​ໃນ​ການ​ປ້ອງ​ກັນ​ ແລະ ​ແກ້​ໄຂ 

1. ອັບ​ເດດ​ຊ໋ອບ​ແວ Bash ໃຫ້ເປັນ​ເວີຊັນ​ທີ່​ໄດ້ຮັບ​ການ​ແກ້​ໄຂ​ບັນຫາ​ຊ່ອງ​ໂຫ່ວ​ແລ້ວ

1.1 ເພື່ອ​ແກ້​ໄຂ​ບັນຫາ​ຊ່ອງ​ໂຫ່ວ​ຕາມ CVE-2014-6271 ຜູ້​ໃຊ້​ສາມາດ​ອັບ​ເດດ Patch ສຳລັບ​ຊ໋ອບແວ Bash ໃນ​ເວີຊັນ​ຕ່າງໆ​ດັ່ງ​ຕໍ່ໄປ​ນີ້  [18]

  • Bash 4.3 Patch 25
  • Bash 4.2 Patch 48
  • Bash 4.1 Patch 12
  • Bash 4.0 Patch 39
  • Bash 3.2 Patch 52
  • Bash 3.1 Patch 18
  • Bash 3.0 Patch 17

1.2 ເພື່ອ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫ່ວຕາມ CVE-2014-7169 ຜູ້​ທີ່​ໃຊ້ Debian ແລະ Ubuntu ສາມາດ​ອັບ​ເດດ Bash ເປັນ​ເວີລຊັນ​ລ່າ​ສຸດ​ດ້ວຍ​ຄຳ​ສັ່ງ apt-get update ແຕ່​ໃນ​ກໍລະນີ​ຂອງ​ການ​ໃຊ້​ງານ​ລະບົບ​ປະຕິບັດການ​ອື່ນໆ ຜູ້​ໃຊ້​ງານ​ຄວນ​ກວດ​ສອບ​ຈາກ​ເວບ​ໄຊທາງ​ການ​ອີກ​ເທື່ອໜຶ່ງ

2. ພິຈາລະນາ​ປ່ຽນ​ໄປ​ໃຊ້​ງານ Shell ອື່ນ​ທົດ​ແທນ​ກ່ອນ ຈົນ​ກວ່າ​ຈະ​ມີ​ການ​ອັບ​ເດດ Patch ສົມບູນ ແຕ່​ຢ່າງໃດ​ກໍ່​ຕາມ​ຄວນ​ມີ​ການ​ພິຈາລະນາ​ຜົນ​ກະທົບ​ກໍລະນີ​ອື່ນ​ທີ່​ອາດ​ສົ່ງ​ຜົນ​ຈາກ​ການ​ປ່ຽນ​ແປງ

3. ພິຈາລະນາ​ຍົກ​ເລີກ​ການ​ໃຊ້​ງານ​ບໍລິການ​ ຫຼື ສ່ວນ​ປະກອບ​ທີ່​ອາດ​ໄດ້ຮັບ​ຜົນ​ກະທົບ ​ແລະ ​ຍັງ​ບໍ່​ສາມາດ​ດຳ​ເນີນ​ການ Patch ໄດ້ ນະຂະນະ​ນີ້ ເພື່ອ​ຫຼຸດຄວາມ​ສ່ຽງ​ຈາກ​ການ​ຖືກ​ໂຈມ​ຕີ ​ແລະ ​ເຂົ້າ​ຄວບ​ຄຸມ​ລະບົບ.

ອ້າງ​ອີງ 

  1. https://blogs.akamai.com/2014/09/environment-bashing.html
  2. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
  3. http://lists.gnu.org/archive/html/bug-bash/2014-09/msg00086.html
  4. http://lists.gnu.org/archive/html/bug-bash/2014-09/msg00087.html
  5. http://lists.gnu.org/archive/html/bug-bash/2014-09/msg00085.html
  6. http://lists.gnu.org/archive/html/bug-bash/2014-09/msg00083.html
  7. http://lists.gnu.org/archive/html/bug-bash/2014-09/msg00082.html
  8. http://lists.gnu.org/archive/html/bug-bash/2014-09/msg00081.html
  9. https://twitter.com/taviso/status/514887394294652929
  10. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169
  11. http://lists.gnu.org/archive/html/bug-bash/2014-09/msg00123.html
  12. https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=762760
  13. http://www.ubuntu.com/usn/usn-2363-2
  14. http://www.imore.com/apple-working-quickly-protect-os-x-against-shellshock-exploit
  15. https://www.debian.org/security
  16. http://www.ubuntu.com/usn/
  17. https://access.redhat.com/security/updates/active/
  18. http://ftp.gnu.org/gnu/bash/

ເອກະສານອ້າງອີງຈາກ ThaiCERT