美国漏洞管理库发布Bash漏洞最新概要

前言

NVD是美国政府基于漏洞管理数据的标准知识库,这些数据支持自动化漏洞管理和安全测试,并遵循美国联邦信息安全管理法案(FISMA)。最近美国国家网络感知系统发布了一项针对“CVE-2014-6271 bash远程命令执行漏洞(ShellShock破壳)”的概要,“破壳”漏洞远胜“心脏出血”,看来实至名归。

Freebuf在这里与大家分享更多shellshock信息,希望大家对ShellShock的影响和原理有更多的了解。闲话不多说,请看下文。

老师说“温故而知新” http://www.freebuf.com/news/44805.html

针对C VE-2014-6271 bash远程命令执行漏洞(ShellShock破壳)概要

GNU Bash 4.3及之前版本通过在定义环境变量的值后追加特定字符串可以允许攻击者远程执行任意命令,利用的形式有:

OpenSSL和SSHD配置中使用了ForceCommand用以限制远程用户执行命令;

Apache HTTP服务器mod_cgi或者mod_cgid利用;

DHCP客户端脚本调用shell执行;

其他任何形式的授权调用bash做边界执行的情况等。

特别提到,此问题的原修复是不正确的,修复后漏洞依然存在,因为存在时间长久,影响深远,“破壳”漏洞从此声名远扬!

ShellShock的影响力

CVSS 严重级别(2.0版):

CVSS 2.0版本指标:

参考资源&解决方案&其他工具

美国漏洞管理库分享的资料十分足,下面给出了许多外部资源,选择这些链接,你将离开freebuf到这些其他网站——因为他们可能有更多资料信息,想必是那些运(hei)维(ke)的兴趣。其他网站内容不代表NIST的立场,还有,这不是NIST在打广告哦,freebuf也没有啊,建议查看有质量的评论,[email protected]buf也想说有什么见(tu)解(cao),请直接在下面占座!

漏洞的软件和版本

配置1

* CPE:/ A:GNU:bash中:1.14.0  

* CPE:/ A:GNU:bash中:1.14.1

* CPE:/ A:GNU:bash中:1.14.2

*  CPE:/ A:GNU:bash中:1.14.3

* CPE:/ A:GNU:bash中:1.14.4

* CPE:/ A:GNU:bash中:1.14.5

* CPE:/ A:GNU:bash中:1.14.6

*  CPE:/ A:GNU:bash中:1.14.7

* CPE:/ A:GNU:bash中:2.0

* CPE:/ A:GNU:击:2.01

* CPE:/ A:GNU:bash中:2.01.1

* CPE:/ A:GNU:击:2.02

*  CPE:/ A:GNU:bash中:2.02.1

* CPE:/ A:GNU:击:2.03

*  CPE:/ A:GNU:击:2.04

* CPE:/ A:GNU:击:2.05

* CPE:/ A:GNU:庆典:2.05:a

* CPE:/ A:GNU:庆典:2.05:乙

* CPE:/ A:GNU:bash中:3.0

*  CPE:/ A:GNU:bash中:3.0.16

* CPE:/ A:GNU:bash中:3.1

* CPE:/ A:GNU:bash中:3.2

* CPE:/ A:GNU:bash中:3.2.48

* CPE:/ A:GNU:bash中:4.0

* CPE:/ A:GNU:bash中:4.0:RC1

*  CPE:/ A:GNU:bash中:4.1

*  CPE:/ A:GNU:bash中:4.2

* CPE:/ A:GNU:bash中:4.3

*表示易受攻击的软件

更多相关的漏洞与配置变化http://web.nvd.nist.gov/view/cpe/changes

全球范围内已公开的漏洞利用细节https://github.com/mubix/shellshocker-pocs

CVE标准的漏洞条目 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE,2014-6271