这是一个社区 Wiki,用于记录已知哪些操作系统和设备受到 Shellshock 漏洞(和相关漏洞)的影响,以及可用的补丁程序。
CW 列表应包含以下信息:
请注意,这里不是发布原始研究的地方,也不是为了深入研究某些产品是如何受到影响的。它只是列出受影响的产品和可用的补丁。
目前,在“Shellshock”的保护伞下,一般有六个漏洞:
产品不需要为任何或所有这些提供补丁即可被列出。此处列出产品的最低标准是有来自信誉良好的来源的公开确认,说明上述 CVE 中的一项或全部适用于该产品。如果某个产品仍然无法获得漏洞确认或补丁,对于其中一些 CVE,请仍然列出该产品以及哪些信息可用。
在未提供对供应商发布的通知或其他研究人员文档的参考的情况下,请勿将产品添加到此列表中,或声称有补丁可用。
请不要发布单独的答案。第一个答案应标记为 Community Wiki,因此任何人都可以稍后根据需要添加或更改它。
以下是已找到供应商声明或信誉良好的研究以确认其漏洞状态的产品。其他信息也可在以下站点获得:
US-CERT - 美国计算机应急响应小组
Shellshocker.net - 专门针对 Shellshock 漏洞的网站。由医学信息工程IT 团队 维护
将信息包含在此列表中仅意味着有人找到了与 Shellshock 相关的信息并愿意将其添加到列表中。省略细节并不一定意味着产品不受影响或补丁不可用。
如果您使用的产品未在下面列出,并且您不确定它是否受到 Shellshock 相关漏洞的影响,您应该自行联系产品供应商。如果列出了他们的产品,但一个或多个漏洞的状态未列出,您还应该联系供应商并提出您的疑虑。如果供应商提供了有关其产品如何受到影响以及可用的补救选项的可公开访问声明的链接,请将它们添加到此列表中。
最后更新: 2014-09-30 00:30Z
受影响的版本:( 未指定)
CVE-2014-6271
CVE-2014-7169、CVE-2014-7186、CVE-2014-7187
CVE-2014-6277、CVE-2014-6278
受影响的版本: 5 到 7(根据供应商通知。早期版本未经确认。)
CVE-2014-6271
CVE-2014-7169、CVE-2014-7186、CVE-2014-6277
CVE-2014-7187、CVE-2014-6278
受影响的产品:( 多个 - 有关详细信息,请参阅建议。)
CVE-2014-6271、CVE-2014-7169
CVE-2014-7186、CVE-2014-7187、CVE-2014-6277、CVE-2014-6278
受影响的产品:(未指定)
CVE-2014-6271
CVE-2014-7169、CVE-2014-7186、CVE-2014-7187
CVE-2014-6277
CVE-2014-6278
受影响的产品:(未指定)
CVE-2014-6271
CVE-2014-7169
CVE-2014-7186、CVE-2014-7187、CVE-2014-6277、CVE-2014-6278
受影响的产品: 4 到 7(根据供应商通知。早期版本未经确认。)
CVE-2014-6271
CVE-2014-7169
CVE-2014-7187、CVE-2014-6277、CVE-2014-6278
受影响的版本: 10.04 到 14.04(根据供应商通知。早期版本未经确认。)
CVE-2014-6271
CVE-2014-7169
CVE-2014-7186、CVE-2014-7187、CVE-2014-6277、CVE-2014-6278
问题是——答案基本上是:所有这些。任何安装了 GNU Bash 的设备,任何版本,在技术上都是易受攻击的。
值得注意的例外:busybox 不是 gnu。所以你的wifi路由器可能没有gnu bash。
但更重要的是,并非每个设备都公开Bash,以便可以将任意值插入到环境变量中。可能的关键示例是在使用 Bash 的 CGI 脚本中,在某些类型的 DHCP 响应程序中,以及在受限的 shell 环境中。
很多人现在才知道一些 Web 控制面板(如 Plesk)附带一组“测试”CGI 脚本,其中一个是用 Bash 编写的。虽然几乎没有人会用 Bash CGI 编写一个严肃的 Web 应用程序,但他们中的许多人可能已经安装了这个测试脚本。