Shellshock(소프트웨어 버그)

Shellshock (software bug)
"Bash bug"는 여기서 리다이렉트 됩니다.관련된 버그리포트 툴에 대해서는 Bash (Unix 쉘) bug Bug reporting 을 참조해 주세요.아케이드 스킬 게임은 Bashy Bug을 참고하세요.
셸쇼크
Shellshock-bug.svg
Heartbled 버그 로고와 유사한 심플한 Shellshock 로고.
CVE 식별자CVE-2014-6271(초기),
CVE-2014-6277,
CVE-2014-6278,
CVE-2014-7169,
CVE-2014-7186,
CVE-2014-7187
발견된 날짜2014년 9월 12일, 7년 전(2014-09-12)
패치가 적용된 날짜2014년 9월 24일, 7년 전(2014-09-24)
디스커버스테판 샤젤라스
해당 소프트웨어Bash (1.0.3 ~4.3)

Shellshock은 Bashdoor로도 [1]알려져 있으며, Unix Bash [2] 보안 버그 패밀리이며, 그 중 첫 번째는 2014년 9월 24일에 공개되었습니다.Shellshock을 통해 공격자는 Bash가 임의의 명령을 실행하도록 하고 Bash를 사용하여 요청을 처리하는 웹 서버 등의 많은 인터넷 접속 서비스에 대한 무단[3] 액세스를 얻을 수 있습니다.

2014년 9월 12일 스테판 샤젤라스는 바쉬의 관리자인 쳇 래미에게[1] 원래의 버그를 발견했다고 알렸고, 이를 "배쉬도어"라고 불렀다.Chazelas 씨는 보안 전문가와 협력하여 이 문제에 대한 패치[1](수정)를 개발했으며, 그때까지 취약점 식별자 CVE-2014-6271[4]할당되었습니다.버그의 존재는 2014-09-24년에 일반에 발표되었습니다.그 때, Bash는 이 수정을 사용한 업데이트를 [5]배포할 준비가 되었습니다.

Chazelas가 발견한 버그로 인해 Bash가 [1][6]환경변수 에 저장된 함수 정의 에 명령어를 연결할 때 의도하지 않게 명령을 실행하게 되었습니다.발행일로부터 수일 이내에 다양한 관련 취약성이 발견되었다(CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186CVE-2014-7187).Ramey는 일련의 추가 [7][8]패치를 통해 이러한 문제를 해결했습니다.

공격자는 손상된 컴퓨터의 봇넷을 생성하여 분산 서비스 거부 공격 및 취약성 [9][10]검사를 수행함으로써 최초 공개 후 몇 시간 내에 Shellshock을 이용했습니다.보안 회사들은 폭로 [11][12]후 며칠 동안 이 버그와 관련된 수백만 건의 공격과 탐사를 기록했다.

수백만 대의 패치가 적용되지 않은 시스템을 손상시킬 가능성이 있기 때문에 Shellshock은 [3][13]심각도 면에서 Heartbleed 버그와 비교되었습니다.

배경

Shellshock 버그는 다양한 Unix 기반 시스템이 명령줄 및 명령어스크립트를 실행하기 위해 사용하는 프로그램인 Bash에 영향을 줍니다.대부분의 경우 시스템의 기본 명령줄 인터페이스로 설치됩니다.Bash의 소스 코드 이력 분석에 따르면 이 버그는 1989년 8월 5일에 도입되어 1989년 [14][15][16]9월 1일에 Bash 버전 1.03에서 출시되었습니다.

Shellshock은 시스템 사용자가 사용할 수 없는 명령을 실행하는 방법을 제공하는 임의 코드 실행 취약성입니다.이는 Bash의 "함수 내보내기" 기능을 통해 발생합니다.이 기능을 통해 한 Bash 프로세스[17]실행되는 다른 Bash 프로세스와 명령어스크립트를 공유할 수 있습니다.이 기능은 환경변수 리스트라고 불리는 프로세스 간에 공유되는 테이블 내의 스크립트를 부호화함으로써 구현됩니다.각 새로운 Bash 프로세스는 이 테이블에서 인코딩된 스크립트를 스캔하고 각 스크립트를 새로운 프로세스에서 정의하는 명령어로 조합하여 해당 [18]명령을 실행합니다.새 프로세스에서는 목록에 있는 스크립트가 다른 Bash 프로세스에서 가져온 것으로 가정하지만 이를 확인할 수 없으며 작성한 명령어가 올바른 형식의 스크립트 정의인지도 확인할 수 없습니다.따라서 공격자는 시스템에서 임의의 명령을 실행하거나 Bash 명령어인터프리터에 존재할 수 있는 다른 버그를 악용할 수 있습니다.환경 변수 목록을 조작하여 Bash를 실행할 수 있습니다.버그가 발견되었을 때 Bash는 macOS 및 많은 Linux 운영체제에 메인 명령어인터프리터로서 설치되어 있었기 때문에system다른 프로그램을 실행하는 함수는 Bash를 사용합니다.

이 버그의 존재는 2014-09-24년에 일반에 발표되었습니다.이때 Bash의 수정 업데이트가 [5]배포될 준비가 되었지만 잠재적인 보안 문제를 해결하기 위해 컴퓨터를 업데이트하는 데 시간이 걸렸습니다.

공격 보고서

Bash 취약성이 발표된 지 1시간 이내에 이 버그로 인해 컴퓨터가 손상되었다는 보고가 있었습니다.2014년 9월 25일까지 공격자가 분산 서비스 거부(DDoS) 공격 및 취약성 [9][10][19]검색을 위해 버그에 기반한 악용으로 손상된 컴퓨터를 기반으로 한 봇넷을 사용했습니다.Kaspersky Labs는 "Thanks-Rob"이라고 불리는 공격으로 손상된 머신이 3개의 타깃에 대해 DDoS 공격을 수행하고 있다고 보고했지만,[9] 이 공격은 확인되지 않았습니다.2014년 9월 26일, Akamai Technologies에 대한 DDoS 공격과 미국 [10]국방부의 스캔에 사용되는 "wopbot"이라는 셸쇼크 관련 봇넷이 보고되었다.

9월 26일 보안업체 Incapsula는 과거 24시간 동안 400개의 고유 IP 주소에서 발생한 1,800개 이상의 웹 도메인에 대한 17,400건의 공격을 기록했습니다. 공격의 55%는 중국과 [11]미국에서 발생한 것입니다.9월 30일까지 웹사이트 퍼포먼스 회사인 CloudFlare는 이 [12]버그와 관련된 공격과 프로브를 하루에 약 150만 건 추적하고 있다고 밝혔다.

10월 6일, Shellshock [20][21]문제와 관련된 공격으로 Yahoo! 서버가 손상되었다고 널리 보도되었다.그러나 다음날, 이러한 [22]공격을 특별히 허용한 것은 셸쇼크였다는 사실은 부인되었다.

특정 공격 벡터

CGI 기반 웹 서버
웹 서버가 CGI(Common Gateway Interface)를 사용하여 문서 요청을 처리할 때 요청의 특정 정보를 환경 변수 목록에 복사한 다음 요청을 처리기 프로그램에 위임합니다.핸들러가 Bash 스크립트이거나 Bash를 실행하는 경우 Bash는 서버에 의해 전달된 환경변수를 수신하여 위와 같이 처리합니다.이를 통해 공격자는 특수하게 조작된 문서 [6]요청으로 Shellshock 취약성을 트리거할 수 있습니다.
널리 사용되는 Apache 웹 서버 관련 보안 문서: "CGI 스크립트는 주의 깊게 [23]검사하지 않으면 매우 위험할 수 있습니다." 및 웹 서버 요청을 처리하는 다른 방법이 일반적으로 사용됩니다.인터넷에 [citation needed]노출된 웹 서버에 대해 취약성을 테스트하는 온라인 서비스가 많이 있습니다.
OpenSSH 서버
OpenSSH에는 "ForceCommand" 기능이 있습니다.이 기능은 사용자가 로그인할 때 무제한 명령 셸을 실행하는 대신 고정 명령이 실행됩니다.사용자가 다른 명령어를 실행하도록 지정한 경우에도 고정 명령어는 실행됩니다.이 경우 원래 명령어는 환경변수 "SSH_ORIGINIAL_COMMAND"에 저장됩니다.강제 명령어가 Bash 쉘에서 실행되는 경우(사용자 셸이 Bash로 설정되어 있는 경우), Bash 셸은 시작 시 SSH_ORIGINILE_COMMAND 환경변수를 해석하고 여기에 포함된 명령을 실행합니다.사용자는 Shellshock [24]버그를 사용하여 제한되지 않은 셸 액세스를 얻기 위해 제한된 셸 액세스를 사용했습니다.
DHCP 클라이언트
일부 DHCP 클라이언트는 Bash에 명령어를 전달할 수도 있습니다.오픈 Wi-Fi 네트워크에 접속하면 취약한 시스템이 공격받을 수 있습니다.DHCP 클라이언트는 통상, DHCP 서버로부터 IP 주소를 요구해 취득합니다만, 일련의 추가 옵션을 제공할 수도 있습니다.악의적인 DHCP 서버는 이러한 옵션 중 하나로 취약한 워크스테이션 또는 노트북에서 [13]코드를 실행하도록 조작된 문자열을 제공할 수 있습니다.
Qmail 서버
Bash를 사용하여 전자 메일 메시지를 처리할 때(예를 들어 .forward 또는 qmail-alias 파이프를 통해) qmail 메일 서버는 취약한 버전의 [25][7]Bash를 이용할 수 있는 방식으로 외부 입력을 전달합니다.
IBM HMC 제한 셸
이 버그를 이용하여 시스템 관리자를 위한 작은 Linux 버전인 IBM Hardware Management [26]Console제한된 셸에서 Bash에 액세스할 수 있습니다.IBM은 이 [27]문제를 해결하기 위한 패치를 릴리스했습니다.

보고된 취약성

개요

Bash의 관리자는 2014년 9월 12일에 버그가 처음 발견되었다는 경고를 받았고 곧 [1]수정이 이루어졌습니다.2014-09-24에 문제가 공개되기 전에 CVE 식별자 CVE-2014-6271[4][5]가진 몇몇 회사와 유통업체에게 이 사실을 알렸다.그러나 패치 출시 후 다른 관련 [28]취약성에 대한 후속 보고가 있었습니다.

2014년 9월 26일, 두 명의 오픈 소스 기고가 David A.Wheeler와 Norihiro Tanaka는 최신 패치를 사용하여 시스템에 패치를 적용한 후에도 추가적인 문제가 발생했다고 지적했습니다.Wheeler는 oss-sec 및 bash-bug 메일링 목록 앞으로 보낸 이메일에서 다음과 같이 쓰고 있습니다.이 패치는 첫 번째 패치에서 시작된 해석 오류를 수정하는 '백어몰' 작업을 계속합니다.Bash의 파서는 많은 다른 취약점을 가지고 있습니다.[29]

2014년 9월 27일 Google Inc.Michaw ZalewskiBash가 주소 [30]공간 레이아웃 랜덤화 없이 컴파일된다는 사실에 기초한 다른 Bash [7]취약점을 발견했다고 발표했다.10월 1일 잘레스키는 최종 버그에 대한 자세한 내용을 공개하고 9월 25일 레드햇의 Florian Weimer가 게시한 패치를 통해 버그를 막을 수 있음을 확인했다.는 미국 퍼지 lop으로 [31]알려진 소프트웨어 유틸리티의 도움을 받아 퍼징 기술을 사용해 왔다.

최초 보고서 (CVE-2014-6271)

이 취약성의 원래 형태(CVE-2014-6271)에는 내보낸 함수 정의를 포함하는 특수하게 조작된 환경 변수와 그에 이어 임의 명령이 포함됩니다.Bash는 [32]함수를 Import할 때 trailing 명령을 잘못 실행합니다.이 취약성은 다음 명령을 사용하여 테스트할 수 있습니다.

env x='() {:;}; echo vulnerable' bash -c "이것이 테스트입니다."

이 취약성의 영향을 받는 시스템에서는 위의 명령어는 "x"[8][33]라는 특수하게 조작된 환경 변수에 포함된 "echo vulnerable" 명령을 Bash가 실행한 결과 "vulnerable"이라는 단어를 표시합니다.

CVE-2014-6277

Michau Zalewski[7][30][34]의해 발견된 취약성 CVE-2014-6277은 Bash에 의한 환경변수의 함수 정의 구문 분석과 관련된 것으로 세그먼트 [35]장애를 일으킬 수 있습니다.

CVE-2014-6278

또한 Michau Zalewski[35][36]의해 발견된 이 버그(CVE-2014-6278)는 Bash에 의한 환경변수의 함수 정의 해석과 관련되어 있습니다.

CVE-2014-7169

원래 취약성이 게시된 당일 Tavis Ormandy는 다음 코드에 나와 있는 이 관련 버그(CVE-2014-7169)[24]를 발견했습니다.

env X='() { (a)=>\' bash - c "date date"; cat echo

취약한 시스템에서는 "date" 명령이 의도하지 [24]않게 실행됩니다.

다음으로 CVE-2014-6271용 패치는 있지만 CVE-2014-7169용 패치는 없는 시스템의 예를 나타냅니다.

$ X='() { (a)=>\' bash -c "date" bash: X: line 1: 예기치 않은 토큰 '=' bash: X: line 1: '' bash: 'X' $ cat echo에 대한 함수 정의를 가져오는 오류발생했습니다.

CVE-2014-6271이 차단되었음을 사용자에게 통지하는 구문 오류가 표시되지만 여전히 '날짜' 호출 결과를 포함하는 'echo'라는 이름의 파일을 작업 디렉토리에 씁니다.

CVE-2014-6271 및 CVE-2014-7169용으로 패치가 적용된 시스템에서는 다음과 같이 "날짜"라는 단어가 그대로 반영되며 파일 "에코"는 생성되지 않습니다.

$ X='() { (a)=>\' bash -c "date" date $ cat echo cat : echecho: 해당 파일 또는 디렉터리가 없습니다.

CVE-2014-7186

Florian Weimer와 Todd Sabin은 Bash 파서코드의 Out-of-Bounds 메모리액세스 에러와 관련된 [37]이 버그(CVE-2014-7186)[8][31]를 발견했습니다.

여러 "< EOF" 선언(여기서 "내포된 문서")을 사용하는 취약성의 예는 다음과 같습니다. 

bash - c ' true < EOF < EOF < EOF < EOF < < EOF < EOF < EOF < EOF < EOF < EOF - 7 - ECHO - 2014 "

취약한 시스템에서는 "CVE-2014-7186 vulnerable, redir_stack" 텍스트가 에코됩니다.

CVE-2014-7187

Florian [8]Weimer에서도 발견된 CVE-2014-7187은 Bash 파서 코드의 오프 바이 원 에러로, Out-Bounds 메모리액세스를 [38]가능하게 합니다.

이 취약성의 예로 여러 "done" 선언을 사용합니다.

(x in {1}의 경우).200}, "의 x$x", "do:", 완료, {1 x"에 대해 에코합니다.200}; do echo done; done) bash echo "CVE-2014-7187 vulnerable, word_lineno"

취약한 시스템은 "CVE-2014-7187 vulnerable, word_lineno"라는 텍스트를 에코합니다.이 테스트에서는 브레이스 [39]확장을 지원하는 셸이 필요합니다.

패치

2014년 9월 24일까지 Bash 유지보수업체 Chet Ramey는 디스트리뷰션유지업체에서 이미 패키징한 CVE-2014-6271로 [40]Bash 4.3 패치버전 bash43-025를 제공하였습니다.9월 24일에 bash43-026이 이어서 CVE-2014-7169에 [41]대응했습니다.그 후 CVE-2014-7186이 발견되었다.Red Hat의 Florian Weimer는 9월 [42]25일, 이 「비공식」의 패치 코드를 몇개 게재했습니다.Ramey는 Bash에 bash43-027로 [43][44]통합했습니다.:이러한 패치는 코드만 제공하고 패치파일 및 나머지 소스 코드파일에서 새로운 Bash 바이너리 실행 파일을 컴파일(재구축)하는 방법을 알고 있는 사용자에게만 도움이 됩니다.이 패치는 함수를 내보낼 때 변수 이름 접두사를 추가했습니다. 이로 인해 임의 변수가 취약성을 트리거하는 것을 방지하고 다른 프로그램이 환경에서 Bash 함수를 제거할 수 있게 되었습니다.

다음 날 Red Hat은 공식적으로 Red Hat Enterprise [45][46]Linux 업데이트에 따라 Fedora [47]21 업데이트를 발표했습니다.Canical Ltd.는 9월 [48]27일 토요일 Ubuntu Long Term Support 버전에 대한 업데이트를 발표했으며 일요일에는 SUSE Linux Enterprise[49]대한 업데이트가 있었습니다.다음 주 월요일과 화요일 월말에 Mac OS X 업데이트가 나타났습니다.[50][51]

2014년 10월 1일 Google Inc.Michaw Zalewski는 마침내 Weimer의 코드와 bash43-027이 처음 3개의 버그뿐만 아니라 bash43-027 이후에 공개된 나머지 3개의 [31]버그도 수정했다고 발표했습니다.즉, 이전 배포 업데이트 후 6가지 [46]문제를 모두 해결하기 위해 다른 업데이트가 필요하지 않습니다.

이러한 모든 내용은 IBM Hardware Management [27]Console에서도 다루어졌습니다.

레퍼런스

  1. ^ a b c d e Perlroth, Nicole (25 September 2014). "Security Experts Expect 'Shellshock' Software Bug in Bash to Be Significant". New York Times. Retrieved 25 September 2014.
  2. ^ 일부 소스에서는 "바이러스"로 설명되지만 Shellshock은 일부 운영체제와 함께 제공되는 프로그램의 설계 결함입니다.=>를 참조하십시오.
  3. ^ a b Seltzer, Larry (29 September 2014). "Shellshock makes Heartbleed look insignificant". ZDNet. Retrieved 29 September 2014.
  4. ^ a b Florian Weimer (24 September 2014). "Re: CVE-2014-6271: remote code execution through bash". oss-sec (Mailing list). Retrieved 1 November 2014.
  5. ^ a b c Florian Weimer (24 September 2014). "Re: CVE-2014-6271: remote code execution through bash". oss-sec (Mailing list). Retrieved 1 November 2014.
  6. ^ a b Leyden, John (24 September 2014). "Patch Bash NOW: 'Shell Shock' bug blasts OS X, Linux systems wide open". The Register. Retrieved 25 September 2014.
  7. ^ a b c d Saarinen, Juha (29 September 2014). "Further flaws render Shellshock patch ineffective". iTnews. Retrieved 29 September 2014.
  8. ^ a b c d Vaughan-Nichols, Steven (27 September 2014). "Shellshock: Better 'bash' patches now available". ZDNet. Retrieved 29 September 2014.
  9. ^ a b c Greenberg, Andy (25 September 2014). "Hackers Are Already Using the Shellshock Bug to Launch Botnet Attacks". Wired. Retrieved 28 September 2014.
  10. ^ a b c Saarinen, Juha (26 September 2014). "First Shellshock botnet attacks Akamai, US DoD networks". iTnews. Retrieved 26 September 2014.
  11. ^ a b Perlroth, Nicole (26 September 2014). "Companies Rush to Fix Shellshock Software Bug as Hackers Launch Thousands of Attacks". New York Times. Retrieved 29 September 2014.
  12. ^ a b Strohm, Chris; Robertson, Jordan (30 September 2014). "Shellshock Draws Hacker Attacks, Sparks Race to Patch Bug". Businessweek. Retrieved 1 October 2014.
  13. ^ a b Cerrudo, Cesar (30 September 2014). "Why the Shellshock Bug Is Worse than Heartbleed". MIT Technology Review. Retrieved 1 October 2014.
  14. ^ Fox, Brian (21 March 1990). "Bash 1.05 ChangeLog". Retrieved 14 October 2014.
  15. ^ Chazelas, Stéphane (10 October 2014). "when was shellshock introduced". Stéphane Chazelas and Chet Ramey confirm the vulnerability introduction date on Bash official communication channel. Archived from the original on 20 December 2016. Retrieved 14 October 2014.
  16. ^ Chazelas, Stéphane (25 September 2014). "When was the shellshock (CVE-2014-6271/7169) bug introduced, and what is the patch that fully fixes it?".
  17. ^ "Bash Reference Manual: Shell Functions". Retrieved 2 October 2014.
  18. ^ "Bash 4.3 source code, file variables.c, lines 315-388". Retrieved 2 October 2014.
  19. ^ Various (26 September 2014). "Web attacks build on Shellshock bug". BBC. Retrieved 26 September 2014.
  20. ^ Boren, Zachary (6 October 2014). "Shellshock: Romanian hackers are accessing Yahoo servers, claims security expert". Independent. Retrieved 7 October 2014.
  21. ^ "Yahoo! Shellshocked Like Ninja Turtles!". Archived from the original on 9 October 2014. Retrieved 7 October 2014.
  22. ^ Hanno Böck (7 October 2014). "Yahoo durch Shellshock angegriffen". Golem - IT-News für Profis (in German). Retrieved 30 October 2014.
  23. ^ "Apache HTTP Server 2.2 Documentation: Security Tips". Retrieved 2 October 2014.
  24. ^ a b c Wolfgang Kandek (24 September 2014). "The Laws of Vulnerabilities". Qualys.com. Archived from the original on 3 May 2016. Retrieved 26 September 2014.
  25. ^ Kyle George (27 September 2014). "qmail is a vector for CVE-2014-6271 (bash shellshock)". qmail (Mailing list).
  26. ^ "IBM HMC is a vector for CVE-2014-6271 (bash "shellshock")". Archived from the original on 19 January 2020.
  27. ^ a b "Security Bulletin: Vulnerabilities in Bash affect DS8000 HMC (CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278)". IBM. 3 October 2014. Retrieved 2 November 2014.
  28. ^ "Shellshock". 13 February 2015. Retrieved 17 September 2016.
  29. ^ Gallagher, Sean (26 September 2014). "Still more vulnerabilities in bash? Shellshock becomes whack-a-mole". Arstechnica. Retrieved 26 September 2014.
  30. ^ a b Staff (28 September 2014). "Shellshock, Part 3: Three more security problems in Bash (in german)". Heise Online. Retrieved 28 September 2014.
  31. ^ a b c "Bash bug: the other two RCEs, or how we chipped away at the original fix (CVE-2014-6277 and '78)". lcamtuf blog. 1 October 2014. Retrieved 8 October 2014.
  32. ^ "Vulnerability Summary for CVE-2014-6271". NIST. 4 October 2014. Retrieved 8 October 2014.
  33. ^ "Bash specially-crafted environment variables code injection attack". Red Hat Security. Retrieved 2 October 2014.
  34. ^ Staff (27 September 2014). "National Cyber Awareness System Vulnerability Summary for CVE-2014-6277". National Institute of Standards and Technology. Retrieved 28 September 2014.
  35. ^ a b Constatin, Lucian (29 September 2014). "Improved patch tackles new Shellshock Bash bug attack vectors". PC World. Retrieved 1 October 2014.
  36. ^ Staff (30 September 2014). "National Cyber Awareness System Vulnerability Summary for CVE-2014-6278". National Institute of Standards and Technology. Retrieved 1 October 2014.
  37. ^ Staff (29 September 2014). "National Cyber Awareness System Vulnerability Summary for CVE-2014-7186". National Institute of Standards and Technology. Retrieved 1 October 2014.
  38. ^ Staff (29 September 2014). "National Cyber Awareness System Vulnerability Summary for CVE-2014-7187". National Institute of Standards and Technology. Retrieved 1 October 2014.
  39. ^ Ramey, Chet. "Re: CVE-2014-7187". lists.gnu.org.
  40. ^ "BASH PATCH REPORT". GNU.org. 12 September 2014. Retrieved 2 November 2014.
  41. ^ "BASH PATCH REPORT". GNU.org. 25 September 2014. Retrieved 2 November 2014.
  42. ^ Weimer, Florian (25 September 2014). "Re: CVE-2014-6271: remote code execution through bash". Openwall Project. Retrieved 2 November 2014.
  43. ^ "BASH PATCH REPORT". GNU.org. 25 September 2014. Retrieved 2 November 2014.
  44. ^ Gallagher, Sean (26 September 2014). "New "Shellshock" patch rushed out to resolve gaps in first fix [Updated]". Retrieved 2 November 2014.
  45. ^ "Important: bash security update". Red Hat. 30 September 2014. Retrieved 2 November 2014.
  46. ^ a b "Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169)". Red Hat. 2 October 2014. Retrieved 2 November 2014.
  47. ^ "[SECURITY] Fedora 21 Update: bash-4.3.25-2.fc21". FedoraProject.org. 27 September 2014. Retrieved 2 November 2014.
  48. ^ "USN-2364-1: Bash vulnerabilities". Canonical Ltd. 27 September 2014. Retrieved 2 November 2014.
  49. ^ "SUSE Security Update: Security update for bash". OpenSUSE. 28 September 2014. Retrieved 2 November 2014.
  50. ^ Clover, Juli (29 September 2014). "Apple Releases OS X Bash Update to Fix 'Shellshock' Security Flaw in Mavericks, Mountain Lion, and Lion". MacRumors.com. Retrieved 2 October 2014.
  51. ^ Slivka, Eric (30 September 2014). "Apple Releases OS X Yosemite Golden Master Candidate to Developers [Update: Also Public Beta]". MacRumors.com. Retrieved 2 October 2014.

외부 링크

Wikimedia Commons에는 Shellshock(소프트웨어 버그) 관련 미디어가 있습니다.