Scientific Linux 安全性更新：SL5.x i386/x86_64 上的 curl

medium Nessus Plugin ID 60765

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

Wesley Miaw 發現使用 deflate 壓縮時，libcurl 可藉由超出記錄限制的資料呼叫已註冊的寫入回呼函式。惡意伺服器可利用此瑕疵造成使用 libcurl 的應用程式損毀，或可能執行任意程式碼。
注意：此問題只會影響使用 libcurl (仰賴記錄資料大小限制，以及複製資料至容量不足的緩衝區) 的應用程式。(CVE-2010-0734)

此更新也可修正下列錯誤：

- 當使用 curl 上傳檔案時，如果在傳輸期間連線中斷或被伺服器重設，curl 會立即開始使用 100% CPU，且無法確認傳輸已經失敗。透過此更新，curl 會顯示相應的錯誤訊息，並在上傳於傳輸期間因連線中斷或重設而失敗時結束。(BZ#479967)

- libcurl 在執行 GSS 交涉驗證後嘗試重新使用連線時出現一個分割錯誤，進而造成 curl 程式損毀。此更新會修正這個錯誤，因此，即使在執行 GSS 交涉驗證之後，還是能夠成功建立重複使用的連線。
(BZ#517199)

此外，此更新還新增了下列增強功能：

- curl 現可支援載入隱私強化郵件 (PEM) 檔案的憑證撤銷清單 (CRL)。當 curl 嘗試存取已在 CRL 中撤銷其憑證的網站時，curl 會拒絕存取那些網站。(BZ#532069)

- curl(1) 手冊頁面現已更新，清楚說明了 '--socks4' 和 '--socks5' 選項無法用於 IPv6、FTPS 或 LDAP 通訊協定。(BZ#473128)

- 藉由執行 'curl -h' 存取的 curl 公用程式說明現已更新，新增 '--ftp-account' 和 '--ftp-alternative-to-user' 選項的描述。(BZ#517084)

所有使用 libcurl 的執行中應用程式皆須重新啟動，更新才會生效。