對於這兩個安全漏洞Google安全工程師Michal Zalewski表示，CVE-2014-6277是個遠端攻擊漏洞，駭客能夠藉由該漏洞存取未初始化的記憶體，包括讀取或寫入，而CVE-2014-6278則是他認為迄今最嚴重的Bash漏洞，非常容易就能自遠端執行程式。

Bash Shell在上周爆發的Shellshock漏洞風波還在繼續延燒，繼CVE-2014-6271、CVE-2014-7169之後又有CVE-2014-7186及CVE-2014-7187。Linux大廠才剛開始釋出第二波修補程式，現在再添兩個新漏洞：CVE-2014-6277與CVE-2014-6278。

對於這兩個安全漏洞Google安全工程師Michal Zalewski表示，CVE-2014-6277是個遠端攻擊漏洞，駭客能夠藉由該漏洞存取未初始化的記憶體，包括讀取或寫入，而CVE-2014-6278則是他認為迄今最嚴重的Bash漏洞，非常容易就能自遠端執行程式。Michal並表示，檢查該漏洞是否已修補的簡單方法，就是利用以下指令：

foo='() { echo not patched; }' bash -c foo

Zalewski並未說明這兩個漏洞的細節，根據美國國家漏洞資料庫（National Vulnerability Database，NVA）的說明，CVE-2014-6277的漏洞出現在Bash無法在環境變數值中妥善解析功能定義，藉由特製的環境將能造成遠端執行任意程式碼或DDoS攻擊。

CVE-2014-6278的漏洞說明與CVE-2014-6277頗為相似，但它允許駭客透過特製環境執行任何命令，此外，CVE-2014-6278漏洞的存在是因為CVE-2014-6271、CVE-2014-7169與CVE-2014-6277的修補程式並不完整。

Zalewski建議使用者安裝紅帽產品安全工程師Florian Weimer先前曾釋出的非官方修補程式。Weimer在上周釋出的修補程式原本是想解決CVE-2014-7186與CVE-2014-7187，不過，它在不同的命名空間進行功能輸出，因而可有效地把功能解析程式自駭客可掌控的字串中隔離，幾乎可解決現在想得到的所有可能遇上的問題。

不過目前紅帽（Red Hat）似乎已經釋出修補程式，根據紅帽官網的CVE-2014-6277及CVE-2014-6278說明，最新的RHSA-2014:1306、 RHSA-2014:1311，及RHSA-2014:1312可解決相關問題。

目前除了Linux大廠紅帽之外，其他相關業者修補Bash漏洞的速度似乎趕不上新漏洞的出現速度。例如，Mac OS也受影響的蘋果遲至兩天前才為Mac OS X釋出Bash修補程式，但只修補了CVE-2014-6271及CVE-2014-7169。而旗下數十款產品受到影響的甲骨文雖已修補了許多產品，但仍有四十幾款還在等著釋出修補程式。 （編譯/陳曉莉）