美国漏洞管理库发布Bash漏洞必威体育精装版概要.doc

前言 NVD（National Vulnerability Database)是美国政府基于漏洞管理数据的标准知识库，这些数据支持自动化漏洞管理和安全测试，并遵循美国联邦信息安全管理法案（FISMA）。最近美国国家网络感知系统发布了一项针对“CVE-2014-6271 bash远程命令执行漏洞（ShellShock破壳）”的概要，“破壳”漏洞远胜“心脏出血”，看来实至名归。Freebuf在这里与大家分享更多shellshock信息，希望大家对ShellShock的影响和原理有更多的了解。闲话不多说，请看下文。老师说“温故而知新”/news/44805.html针对CVE-2014-6271?bash远程命令执行漏洞（ShellShock破壳）概要OpenSSL和SSHD配置中使用了ForceCommand用以限制远程用户执行命令；Apache?HTTP服务器mod_cgi或者mod_cgid利用；DHCP客户端脚本调用shell执行；其他任何形式的授权调用bash做边界执行的情况等。 ShellShock的影响力CVSS 严重级别（2.0版）：CVSS?V2基本分数：?10.0?（高）?(AV:N/AC:L/Au:N/C:C/I:C/A:C)? （小编注：心脏出血漏洞评5.0） 影响力分数：?10.0 可利用分数：?10.0CVSS 2.0版本指标： 利用途径：可网络利用 利用复杂性：?低 验证：不需要利用 影响类型：未经授权的信息披露;?允许未经授权的修改;?使服务中断等参考资源解决方案其他工具 外部来源:?SUSE 名称:?openSUSE-SU-2014:1238 超链接:?/opensuse-security-announce/2014-09/msg00040.html 外部来源:?SECUNIA 名称:?61700 超链接:?/advisories/61700? 外部来源:?CONFIRM 名称:?见链接 超链接:?/support/kb/doc.php?id=7015701 外部来源:?CONFIRM 名称:?见链接 超链接:?/index?page=contentid=SA82 外部来源:?SECUNIA 名称:?61565 超链接:?/advisories/61565 外部来源:?MISC 名称:?见链接 超链接:?/files/128567/CA-Technologies-GNU-Bash-Shellshock.html 外部来源:?SECUNIA 名称:?61715 超链接:?/advisories/61715? 外部来源:?BUGTRAQ 名称:vmsa?-?2014?-?0010?-?VMware关键Bash漏洞更新地址 超链接:?/archive/1/archive/1/533593/100/0/threaded 外部来源:?SECUNIA 名称:?61552年 超链接:?/advisories/61552? 外部来源:?CONFIRM 名称:见链接 超链接:?/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/ 外部来源:?SECUNIA 名称:?61676 超链接:?/advisories/61676 外部来源:?SECUNIA 名称:?61654 超链接:?/advisories/61654 us?-?cert漏洞笔记:?CERT 名称:?ta14?-?268?a 超链接:?/ncas/alerts/TA14-268A? 外部来源:?SECUNIA 名称:?61283 超链接:?/advisories/61283 外部来源:?红帽 名称:?RHSA-2014:1293 超链接:?/errata/RHSA-2014-1293.html 外部来源:?SUSE 名称:?SUSE-SU-2014:1223 超链接:?/opensuse-security-announce/2014-09/msg00034.html? 外部来源:?CONFIRM 名称:见链接 超链接:?/support/docview.wss?uid=sw 外部来源:?CONFIRM 名称:?见链接 超链接:?/support/docview.wss?uid=isg3T1021272? 外部来源:?惠普 名称:?HPSBGN03117 超链接:?/?l=bugtraqm=141216207813411w=2? 外部来源:?UBUNTU 名称:?USN-2362-1 超链接:?/usn/USN-2362-1? 外部来源:?SECUNIA 名称:?61711 超链接:?/advisories/