美国漏洞管理库发布Bash漏洞最新概要

Posted 2021-05-02 FreeBuf

前言

NVD（National Vulnerability Database)是美国政府基于漏洞管理数据的标准知识库，这些数据支持自动化漏洞管理和安全测试，并遵循美国联邦信息安全管理法案（FISMA）。最近美国国家网络感知系统发布了一项针对“CVE-2014-6271 bash远程命令执行漏洞（ShellShock破壳）”的概要，“破壳”漏洞远胜“心脏出血”，看来实至名归。

Freebuf在这里与大家分享更多shellshock信息，希望大家对ShellShock的影响和原理有更多的了解。闲话不多说，请看下文。

老师说“温故而知新”http://www.freebuf.com/news/44805.html

针对CVE-2014-6271 bash远程命令执行漏洞（ShellShock破壳）概要

GNU Bash 4.3及之前版本通过在定义环境变量的值后追加特定字符串可以允许攻击者远程执行任意命令，利用的形式有：

OpenSSL和SSHD配置中使用了ForceCommand用以限制远程用户执行命令；
Apache HTTP服务器mod_cgi或者mod_cgid利用；
DHCP客户端脚本调用shell执行；
其他任何形式的授权调用bash做边界执行的情况等。

特别提到，此问题的原修复是不正确的，修复后漏洞依然存在，因为存在时间长久，影响深远，“破壳”漏洞从此声名远扬！

ShellShock的影响力

CVSS 严重级别（2.0版）：

CVSS V2基本分数： 10.0 （高） (AV:N/AC:L/Au:N/C:C/I:C/A:C) 
（小编注："心脏出血"漏洞评5.0）
影响力分数： 10.0
可利用分数： 10.0

CVSS 2.0版本指标：

利用途径：可网络利用
利用复杂性： 低
验证：不需要利用
影响类型：未经授权的信息披露; 允许未经授权的修改; 使服务中断等

参考资源&解决方案&其他工具

美国漏洞管理库分享的资料十分足，下面给出了许多外部资源(点击文末阅读原文查看)，选择这些链接，你将离开freebuf到这些其他网站——因为他们可能有更多资料信息，想必是那些运(hei)维(ke)的兴趣。其他网站内容不代表NIST的立场，还有，这不是NIST在打广告哦，freebuf也没有啊，建议查看有质量的评论，如有什么评论可直接推送到NIST邮箱nvd@nist.gov。freebuf也想说有什么见(tu)解(cao),请直接在下面占座！

更多相关的漏洞与配置变化：http://web.nvd.nist.gov/view/cpe/changes

全球范围内已公开的漏洞利用细节：https://github.com/mubix/shellshocker-pocs

CVE标准的漏洞条目 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE，2014-6271

[参考信息来源NIST，[凌晨几度i]编译，转载请注明来自FreeBuf.COM，请尊重劳动成果，谢谢！]