偵測

MiracleLinux 7curl-7.29.0-25.0.1.el7.AXS7 (AXSA:2015-843:01)

critical Nessus Plugin ID 289422

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 7 主機已安裝受到多個弱點影響的套件如 AXSA:2015-843:01 公告中所提及。

 curl 是用於傳輸具有 URL 語法的資料的命令行工具支援 FTP、FTPS、HTTP、HTTPS、SCP、SFTP、TFTP、TELNET、DICT、LDAP、LDAPS、FILE、IMAP、SMTP、POP3 和 RTSP。 curl 支援 SSL 憑證、HTTP POST、HTTP PUT、FTP 上傳、HTTP 表單式上傳、proxy、cookie、使用者密碼驗證 (Basic、Digest、NTLM、Negotiate、kerberos...)、檔案傳輸繼續、Proxy 通道和 busload的其他實用技巧。
 此版本修正的安全性問題
 CVE-2014-36137.38.0 之前的 cURL 和 libcurl 未正確處理 cookie 網域名稱中的 IP 位址其允許遠端攻擊者設定特定網站的 cookie 或傳送任意 cookie如同 192.168.0.1 的網站為 127.168.0.1。
 CVE-2014-3707 libcurl 7.17.1 到 7.38.0中的 curl_easy_duphandle 函式當與 CURLOPT_COPYPOSTFIELDS 選項一起執行時未正確複製 HTTP POST 資料以便輕鬆處理這會觸發超出邊界讀取進而允許遠端 Web 伺服器讀取敏感記憶體資訊。
 CVE-2014-8150 使用 HTTP Proxy 時libcurl 6.0 到 7.x 之前的 7.40.0中的 CRLF 插入弱點可讓遠端攻擊者透過 URL 中的 CRLF 序列插入任意 HTTP 標頭並發動 HTTP 回應分割攻擊。
 CVE-2015-3143 cURL 和 libcurl 7.10.6 到 7.41.0 未正確重複使用 NTLM 連線其允許遠端攻擊者透過未經驗證的要求以其他使用者身分連線此問題與 CVE-2014-0015類似。
 CVE-2015-3148 cURL 和 libcurl 7.10.6 到 7.41.0 未正確重複使用經驗證的交涉連線其允許遠端攻擊者透過要求以其他使用者的身分連線。
 修正的錯誤:
 * libcurl 可使用通訊協定範圍外 (out-of-protocol) 遞補至 SSL 3.0。攻擊者可濫用遞補,強制降級 SSL 版本。已從 libcurl 移除遞補。若使用者需要此功能,可透過 libcurl API 明確啟用 SSL 3.0。
 * libcurl 不會再預設為停用 TLS 1.1 和 TLS 1.2。您可以透過 libcurl API 明確停用這些設定。
 * FTP 作業 (如:下載檔案) 原本需要相當長的時間才能完成。現在,libcurl 中的 FTP 實作可正確設定連線的封鎖方向,以及預估的逾時值,進而加快 FTP 傳輸速度。
 增強功能:
 * 執行更新版套件後,即可明確啟用或停用要用於 TLS 通訊協定的全新進階加密標準 (AES) 加密套件。
 * libcurl 程式庫未實作非封鎖 SSL 交握,這會對以 libcurl 多重 API 為基礎的應用程式,產生負面的效能影響。已在 libcurl 中實作非封鎖 SSL 交握,現在無論 libcurl 多重 API 是否可以從基礎網路通訊端往來讀取或寫入資料,都可立即將控制項傳回應用程式。
 * libcurl 程式庫對不具有效檔案描述符號的動作 (即使只是短時作業),使用了不必要的長時封鎖延遲。有些動作 (例如:剖析使用 /etc/hosts 的主機名稱) 需要很長的時間才能完成。已修改 libcurl 中的封鎖程式碼,現在初始延遲時間很短,並且會逐漸增加直到事件發生。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 curl、libcurl 和/或 libcurl-devel 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/6231

Plugin 詳細資訊

嚴重性: Critical

ID: 289422

檔案名稱: miracle_linux_AXSA-2015-843.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Medium

基本分數: 5

時間性分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2015-3148

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:miracle:linux:curl, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:libcurl-devel, p-cpe:/a:miracle:linux:libcurl

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/12/1

弱點發布日期: 2014/9/11

參考資訊

CVE: CVE-2014-3613, CVE-2014-3707, CVE-2014-8150, CVE-2015-3143, CVE-2015-3148

IAVB: 2016-B-0054-S