欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

 首頁(yè) > 新聞 > IT與互聯(lián)網(wǎng) >

2014年互聯(lián)網(wǎng)十大安全漏洞及思考

2015-01-08 10:00:44   作者:   來(lái)源:CTI論壇   評(píng)論:0  點(diǎn)擊:


  2、Shellshock(BASH)漏洞

  【CVE編號(hào)】
  CVE-2014-6271

  【漏洞發(fā)現(xiàn)時(shí)間】
  2014年9月

  【漏洞描述】
  GNU Bash 4.3及之前版本在評(píng)估某些構(gòu)造的環(huán)境變量時(shí)存在安全漏洞,向環(huán)境變量值內(nèi)的函數(shù)定義后添加多余的字符串會(huì)觸發(fā)此漏洞,攻擊者可利用此漏洞改變或繞過(guò)環(huán)境限制,以執(zhí)行shell命令。某些服務(wù)和應(yīng)用允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者提供環(huán)境變量以利用此漏洞。此漏洞源于在調(diào)用Bash shell之前可以用構(gòu)造的值創(chuàng)建環(huán)境變量。這些變量可以包含代碼,在shell被調(diào)用后會(huì)被立即執(zhí)行。

  【漏洞危害】
  可以直接在Bash支持的Web CGI環(huán)境下遠(yuǎn)程執(zhí)行任何命令,另外此漏洞可能會(huì)影響到使用ForceCommand功能的OpenSSH sshd、使用mod_cgi或mod_cgid的Apache服務(wù)器、DHCP客戶(hù)端、其他使用Bash作為解釋器的應(yīng)用等。

  3、SSL 3.0 POODLE漏洞:

  【CVE編號(hào)】
  CVE-2014-3566

  【漏洞發(fā)現(xiàn)時(shí)間】
  2014年10月

  【漏洞描述】
  Poodle攻擊的原理,就是黑客故意制造安全協(xié)議連接失敗的情況,觸發(fā)瀏覽器的降級(jí)使用 SSL 3.0,然后使用特殊的手段,從 SSL 3.0 覆蓋的安全連接下提取到一定字節(jié)長(zhǎng)度的隱私信息。

  【漏洞危害】
  攻擊者可以利用此漏洞獲取受害者的https請(qǐng)求中的敏感信息,如cookies等信息。

  4、Microsoft KerberOS權(quán)限提升漏洞:

  【CVE編號(hào)】
  CVE-2014-6324

  【漏洞發(fā)現(xiàn)時(shí)間】
  2014年12月

  【漏洞描述】
  Windows Kerberos對(duì)kerberos tickets中的PAC(Privilege Attribute Certificate)的驗(yàn)證流程中存在安全漏洞,低權(quán)限的經(jīng)過(guò)認(rèn)證的遠(yuǎn)程攻擊者利用該漏洞可以偽造一個(gè)PAC并通過(guò)Kerberos KDC(Key Distribution Center)的驗(yàn)證,攻擊成功使得攻擊者可以提升權(quán)限,獲取域管理權(quán)限。

  【漏洞危害】
  利用一個(gè)普通的域賬號(hào),提升自己的權(quán)限到域控管理員。

分享到: 收藏

專(zhuān)題