openSUSE 安全性更新:curl (openSUSE-2015-125)
medium Nessus Plugin ID 81287
語系:
Synopsis
遠端 openSUSE 主機缺少安全性更新。描述
已更新至 7.40.0 版,可修正兩個安全性問題。已修正這些安全性問題:
- CVE-2014-8150:libcurl 6.0 到 7.40.0 之前的 7.x 版本中存在 CRLF 插入弱點,當使用 HTTP Proxy 時,允許遠端攻擊者透過 URL 中的 CRLF 序列,插入任意 HTTP 標頭並發動 HTTP 回應分割攻擊 (bnc#911363)。
- CVE-2014-3707:libcurl 7.17.1 到 7.38.0 中的 curl_easy_duphandle 函式,當與 CURLOPT_COPYPOSTFIELDS 選項一起執行時,未正確複製 HTTP POST 資料以便輕鬆處理,這會觸發超出邊界讀取,進而允許遠端 Web 伺服器讀取敏感記憶體資訊 (bnc#901924)。
已修正下列非安全性錯誤:
- http_digest:已針對 Windows SSPI 式驗證新增支援
- 版本資訊:已將 Kerberos V5 新增至支援的功能
- Makefile:已針對 WinIDN 新增 VC 目標
- SSL:針對 Public Key Pinning 新增 PEM 格式支援
- smtp:已針對郵件傳送期間 Unix 新行的轉換新增支援
- smb:已針對 SMB/CIFS 通訊協定新增初始支援
- 已針對 HTTP 透過 unix 網域通訊端、
- 透過 CURLOPT_UNIX_SOCKET_PATH 和 --unix-socket 新增支援
- sasl:已針對 GSS-API 式 Kerberos V5 驗證新增支援
解決方案
更新受影響的 curl 套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 81287
檔案名稱: openSUSE-2015-125.nasl
版本: 1.4
類型: local
代理程式: unix
已發布: 2015/2/11
已更新: 2021/1/19
支持的傳感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent
風險資訊
VPR
風險因素: Medium
分數: 4.2
CVSS v2
風險因素: Medium
基本分數: 4.3
媒介: AV:N/AC:M/Au:N/C:P/I:N/A:N
弱點資訊
CPE: p-cpe:/a:novell:opensuse:curl, p-cpe:/a:novell:opensuse:curl-debuginfo, p-cpe:/a:novell:opensuse:curl-debugsource, p-cpe:/a:novell:opensuse:libcurl-devel, p-cpe:/a:novell:opensuse:libcurl4, p-cpe:/a:novell:opensuse:libcurl4-32bit, p-cpe:/a:novell:opensuse:libcurl4-debuginfo, p-cpe:/a:novell:opensuse:libcurl4-debuginfo-32bit, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2
必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
修補程式發佈日期: 2015/2/3
參考資訊
CVE: CVE-2014-3707, CVE-2014-8150