FreeBSD：cURL 程式庫 -- 使用 GnuTLS 時的憑證名稱檢查忽略 (4e1f4abc-6837-11e3-9cda-3c970e169bc2)

medium Nessus Plugin ID 71530

語系：

概要

遠端 FreeBSD 主機缺少安全性相關更新。

說明

cURL 專案報告：

數位簽章驗證功能關閉時，libcurl 容易遭受遺漏 CN 或 SAN 名稱欄位憑證檢查的情況影響。

libcurl 提供兩個分別而獨立的選項以用於驗證伺服器的 TLS 憑證。CURLOPT_SSL_VERIFYPEER 和 CURLOPT_SSL_VERIFYHOST。第一個選項會要求 libcurl 驗證使用 CA 憑證套件組合的信任鏈，而第二個選項則會要求 libcurl 確認伺服器憑證中的名稱欄位符合準則。兩個選項均預設為啟用。

此瑕疵造成的影響是在應用程式停用 CURLOPT_SSL_VERIFYPEER 時，libcurl 也會誤將 CURLOPT_SSL_VERIFYHOST 檢查略過。應用程式可透過其他方式對自身進行檢查，如此一來即使停用 CURLOPT_SSL_VERIFYPEER 也可確保安全性。

curl 命令行工具不會受到此問題的影響，因為其會同時啟用或停用這兩個選項。