今天早上，Stephane Chazelas披露了程序bash中的一个漏洞，GNU Bourne再一次Shell。该软件被广泛使用，尤其是在Linux服务器上，例如用于提供CloudFlare性能和安全云服务的服务器。此漏洞对Internet基础设施是一个严重的风险，因为它允许在许多常见配置中执行远程代码，而且由于大多数Linux服务器的默认配置是bash，因此该漏洞的严重性更高。虽然bash不直接由远程用户使用，但它是由流行的软件包（如web、邮件和管理服务器）在内部使用的。在web服务器的情况下，当web服务器将一个特殊格式的web请求传递给bash应用程序时，可能会导致bash软件在服务器上为攻击者运行命令。在oss sec邮件列表上公布了更多技术信息。安全社区已将此bash漏洞分配给ID CVE-2014-6271。一旦我们意识到这个漏洞，CloudFlare的工程和运营团队就测试了一个补丁来保护我们的服务器，并将其部署到我们的基础设施中。截至目前，所有CloudFlare服务器都受到CVE-2014-6271的保护。每个使用bash软件包的人都应该尽快升级；操作系统供应商和linux发行版今天都发布了新版本。此外，CloudFlare还准备了Web应用程序防火墙（WAF）规则，以保护尚未修补自己服务器的客户。此防火墙规则适用于Pro、Business和Enterprise客户。我们在默认情况下启用了此规则，因此不需要进行WAF配置。更新（2014年9月24日星期三20:59:46 PDT）：目前，有报告称，大多数操作系统供应商部署的初始bash补丁没有完全缓解该漏洞。CloudFlare将继续密切关注这一情况，并将随着更多信息的提供而更新我们自己的系统和保护客户的WAF规则。MITRE已分配额外漏洞报告CVE-2014-7169。更新（美国东部时间2014年9月26日星期五05:08:00）：在过去的一天里，Linux发行版发布了更新的bash包，这些包同时解决了CVE-2014-6271和CVE-2014-7169。CloudFlare已经在我们所有的服务器上安装了这些软件包，并强烈鼓励所有客户都这样做。我们的WAF规则仍然有效，保护专业、商业和企业客户通过CloudFlare进行web通信。