CentOS 6：curl (CESA-2015:1254)

medium Nessus Plugin ID 85009

語系：

概要

遠端 CentOS 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 6 的更新版 curl 套件，可修正多個安全性問題、數個錯誤，並新增兩個增強功能。

Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

curl 套件會提供 libcurl 程式庫和 curl 公用程式，以便從使用多種通訊協定的伺服器下載檔案，包括 HTTP、FTP 和 LDAP。

據發現，libcurl 程式庫在剖析已收到的 HTTP Cookie 時，無法正確處理部分常值 IP 位址。能夠誘騙使用者連線至惡意伺服器的攻擊者可利用此瑕疵，將使用者的 Cookie 設為特製的網域，使其他與 Cookie 相關的問題更容易遭到惡意利用。(CVE-2014-3613)

在 libcurl 程式庫複製連線控制代碼的方式中發現一個瑕疵。如果應用程式為控制代碼設定 CURLOPT_COPYPOSTFIELDS 選項，使用控制代碼的複製功能可能使應用程式損毀，或洩漏其部分記憶體。(CVE-2014-3707)

據發現，libcurl 程式庫未能正確處理包含內嵌行結尾字元的 URL。能夠讓使用 libcurl 的應用程式透過 HTTP Proxy 存取特製 URL 的攻擊者，可利用此瑕疵將其他標頭插入到要求中，或建構其他要求。(CVE-2014-8150)

據發現，libcurl 以不正確的方式實作 NTLM 和交涉驗證的層面。如果應用程式以特定的方式使用 libcurl 和受影響的機制，對於先前經 NTLM 驗證之伺服器的某些要求可能會顯示為由經驗證的錯誤使用者傳送。此外，可能會在後續的要求中重複使用最初一組適用於 HTTP 交涉驗證要求的認證，但指定另一組不同的認證。(CVE-2015-3143、CVE-2015-3148)

Red Hat 要感謝 cURL 專案報告這些問題。

錯誤修正：

* libcurl 可使用通訊協定範圍外 (out-of-protocol) 遞補至 SSL 3.0 版 (SSLv3.0)。攻擊者可濫用遞補，強制降級 SSL 版本。已從 libcurl 移除遞補。需要此功能的使用者可透過 libcurl API 明確地啟用 SSLv3.0。(BZ#1154059)

* 通過 FILE 通訊協定的單一上傳會開啟目的地檔案兩次。如果 inotify 核心子系統監控檔案，會發現產生兩個事件 (其實並無必要)。現在，每次上傳只會開啟檔案一次。(BZ#883002)

* 當系統在 FIPS 模式下執行時，使用 libcurl 進行 SCP/SFTP 傳輸的公用程式可能會非預期地終止。(BZ#1008178)

* 使用「--retry」選項搭配 curl 公用程式可使 curl 因為分割錯誤而非預期地終止。現在，加入「--retry」不再會使 curl 損毀。(BZ#1009455)

* 列印時間戳記時，'curl --trace-time' 命令不會使用正確的當地時間。現在，「curl --trace-time」會如預期般運作。
(BZ#1120196)

* valgrind 公用程式可能會在 curl 結束時，以動態的方式報告配置的記憶體洩漏。現在，curl 會在結束時執行 NetScape Portable Runtime (NSPR) 程式庫的全域關閉，因此 valgrind 不再會報告記憶體洩漏。(BZ#1146528)

* 之前，當 Proxy 伺服器將自己的標頭附加至 HTTP 回應時，libcurl 會傳回不正確的 CURLINFO_HEADER_SIZE 欄位值。現在，會傳回有效值。
(BZ#1161163)

增強功能：

* 「--tlsv1.0」、「--tlsv1.1」和「--tlsv1.2」選項可用於將 TLS 通訊協定的次要版本指定為透過 NSS 交涉。「--tlsv1」選項現在會交涉用戶端與伺服器同時支援的最新 TLS 通訊協定版本。(BZ#1012136)

* 現在，可以明確地啟用或停用 ECC，而且新的 AES 加密套件可用於 TLS。(BZ#1058767、BZ#1156422)

建議所有 curl 使用者皆升級至這些更新版套件，其中包含可更正這些問題的反向移植修補程式，並新增這些增強功能。