偵測

MiracleLinux 4curl-7.19.7-46.AXS4 (AXSA:2015-432:02)

critical Nessus Plugin ID 289436

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2015-432:02 公告中所提及。

 cURL 是使用任何支援的通訊協定從 HTTP、FTP、FILE、LDAP、LDAPS、DICT、TELNET 和 TFTP 伺服器取得檔案的工具。
 cURL 設計為在無使用者互動或任何類型互動的情況下運作。 cURL 提供許多實用的功能例如代理伺服器支援、使用者驗證、FTP 上傳、HTTP post 和檔案傳輸恢復。
 此版本修正的安全性問題
 CVE-2014-3613 CVE-2014-3707 CVE-2014-8150 CVE-2015-3143 CVE-2015-3148 修正的錯誤
 * libcurl 可使用通訊協定範圍外 (out-of-protocol) 遞補至 SSL 3.0 版 (SSLv3.0)。攻擊者可濫用遞補,強制降級 SSL 版本。為修正此錯誤已從 libcurl 移除遞補。
 * 通過 FILE 通訊協定的單一上傳會開啟目的地檔案兩次。如果 inotify 核心子系統監控檔案,會發現產生兩個事件 (其實並無必要)。
 * 當系統在 FIPS 模式下執行時,使用 libcurl 進行 SCP/SFTP 傳輸的公用程式可能會非預期地終止。
 * 將 --retry 選項與 curl 公用程式搭配使用可導致 curl 因為分割錯誤而非預期地終止。現在新增 --retry 不會再導致 curl 損毀。
 * 列印時間戳記時curl --trace-time 命令未使用正確的當地時間。透過此更新 可修正此問題。
 * valgrind 公用程式可能會在 curl 結束時,以動態的方式報告配置的記憶體洩漏。透過此更新該錯誤已獲得修正。
 * 之前,當 Proxy 伺服器將自己的標頭附加至 HTTP 回應時,libcurl 會傳回不正確的 CURLINFO_HEADER_SIZE 欄位值。此更新已修正此問題。
 增強功能:
 * --tlsv1.0、 --tlsv1.1 和 --tlsv1.2 選項可用於將 TLS 通訊協定的次要版本指定為由 NSS 交涉。該
 --tlsv1 選項現在可交涉用戶端和伺服器皆支援的最高 TLS 通訊協定版本。
 * 現在,可以明確地啟用或停用 ECC,而且新的 AES 加密套件可用於 TLS。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 curl、libcurl 和/或 libcurl-devel 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/5779

Plugin 詳細資訊

嚴重性: Critical

ID: 289436

檔案名稱: miracle_linux_AXSA-2015-432.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Medium

基本分數: 5

時間性分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2015-3148

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:miracle:linux:curl, p-cpe:/a:miracle:linux:libcurl-devel, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:libcurl

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/8/18

弱點發布日期: 2014/9/11

參考資訊

CVE: CVE-2014-3613, CVE-2014-3707, CVE-2014-8150, CVE-2015-3143, CVE-2015-3148

IAVB: 2016-B-0054-S