遠端 Debian 9 主機上安裝的多個套件受 dla-2773 公告中提及的多個弱點影響。

  - 與 IMAP、POP3 或 FTP 伺服器交談時，使用者可告知 curl >= 7.20.0 和 <= 7.78.0 以要求成功升級至 TLS (命令行上的 `--ssl-reqd` 或設為 `CURLUSESSL_CONTROL` 的 `CURLOPT_USE_SSL` 或 `CURLUSESSL_ALL` withlibcurl)。如果伺服器會傳回特製但完全合法的回應，則可繞過此要求。此缺陷會導致 curl 以無訊息模式繼續其作業
    **沒有 TLS** 與指示和預期相反，可能透過網路以純文字洩漏敏感資料。(CVE-2021-22946)

  - 當 curl >= 7.20.0 和 <= 7.78.0 連線至 IMAP 或 POP3 伺服器以擷取使用 STARTTLS 升級至 TLS 安全性的資料時，伺服器可回應並一次傳回 curl 快取的多個回應。
    然後，curl 會升級至 TLS，但不會排清已快取回應的佇列，而是繼續使用並信任其在 TLS 交握*之前*收到的回應，如同這些回應已經通過驗證一般。藉此缺陷，中間攻擊者可先插入假的回應，然後從合法伺服器傳遞 TLS 流量，並誘騙 curl 將資料傳送回給認為攻擊者插入的資料來自受 TLS 保護之伺服器的使用者。(CVE-2021-22947)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Debian DLA-2773-1：curl - LTS 安全性更新

high Nessus Plugin ID 153845

版本 1.4