2、Shellshock（BASH）漏洞

　　【CVE編號】
　　CVE-2014-6271

　　【漏洞發(fā)現(xiàn)時間】
　　2014年9月

　　【漏洞描述】
　　GNU Bash 4.3及之前版本在評估某些構造的環(huán)境變量時存在安全漏洞，向環(huán)境變量值內(nèi)的函數(shù)定義后添加多余的字符串會觸發(fā)此漏洞，攻擊者可利用此漏洞改變或繞過環(huán)境限制，以執(zhí)行shell命令。某些服務和應用允許未經(jīng)身份驗證的遠程攻擊者提供環(huán)境變量以利用此漏洞。此漏洞源于在調(diào)用Bash shell之前可以用構造的值創(chuàng)建環(huán)境變量。這些變量可以包含代碼，在shell被調(diào)用后會被立即執(zhí)行。

　　【漏洞危害】
　　可以直接在Bash支持的Web CGI環(huán)境下遠程執(zhí)行任何命令，另外此漏洞可能會影響到使用ForceCommand功能的OpenSSH sshd、使用mod_cgi或mod_cgid的Apache服務器、DHCP客戶端、其他使用Bash作為解釋器的應用等。

　　3、SSL 3.0 POODLE漏洞：

　　【CVE編號】
　　CVE-2014-3566

　　【漏洞發(fā)現(xiàn)時間】
　　2014年10月

　　【漏洞描述】
　　Poodle攻擊的原理，就是黑客故意制造安全協(xié)議連接失敗的情況，觸發(fā)瀏覽器的降級使用 SSL 3.0，然后使用特殊的手段，從 SSL 3.0 覆蓋的安全連接下提取到一定字節(jié)長度的隱私信息。

　　【漏洞危害】
　　攻擊者可以利用此漏洞獲取受害者的https請求中的敏感信息，如cookies等信息。

　　4、Microsoft KerberOS權限提升漏洞：

　　【CVE編號】
　　CVE-2014-6324

　　【漏洞發(fā)現(xiàn)時間】
　　2014年12月

　　【漏洞描述】
　　Windows Kerberos對kerberos tickets中的PAC（Privilege Attribute Certificate）的驗證流程中存在安全漏洞，低權限的經(jīng)過認證的遠程攻擊者利用該漏洞可以偽造一個PAC并通過Kerberos KDC（Key Distribution Center）的驗證，攻擊成功使得攻擊者可以提升權限，獲取域管理權限。

　　【漏洞危害】
　　利用一個普通的域賬號，提升自己的權限到域控管理員。