好东西！我来配个好题目：《果壳宅大战豆瓣骚》。

这几个月杂事比较多，还要和 Paper Work 搏斗，可静下心来搞研究的连续时间不多，很多设计也没时间实现。晚上突击了一下，总算搞定一个关键点，有点柳暗花明了。

这个漏洞国外称之为“shellshock”，不知道过几天内媒会不会翻译成“外壳休克”

早晨说可能有人会批量搞 CVE-2014-6271（🔗网页链接），果然已经开始了。攻击者专门攻击 HTTP 头的几个字段，而不是 CGI 的参数，这样虽然会漏掉一些目标，但简单通用。攻击成功后会下载一个 Linux 的僵尸网络木马，其中包含利用内核漏洞提权的代码。

我查了 Busybox 的源码，没有 Bash 命令。在 Android 上 Busybox 中测试成功的那位可能环境中有 Bash，所以虽然在 Busybox 的 Shell 中测试，但执行 Bash 时实际调用了外部 Bash。所以我之前说“Busybox 也受影响”（🔗网页链接）是错的。只有用 Bash 做控制台的设备可能受影响。 @宫一鸣cn