OracleVM 3.3：curl (OVMSA-2015-0107)

medium Nessus Plugin ID 85148

語系：

概要

遠端 OracleVM 主機缺少一個或多個安全性更新。

說明

遠端 OracleVM 系統缺少可解決重要安全性更新的必要修補程式：

- 需要認證相符，才能重新使用 NTLM (CVE-2015-3143)

- 完成後關閉交涉連線 (CVE-2015-3148)

- 拒絕 Proxy 傳遞至 URL 中的 CRLF (CVE-2014-8150)

- 針對當作 Cookie 中 IP 位址使用的主機，僅使用完整相符項目 (CVE-2014-3613)

- 修正 curl_easy_duphandle 中 CURLOPT_COPYPOSTFIELDS 的處理 (CVE-2014-3707)

- 修正使用 aspell 發現的手冊頁錯字 (#1011101)

- 修正在手冊頁中使用 NSS 載入 CA 憑證的相關註解 (#1011083)

- 修正傳輸進行中時，DNS 快取逾時的處理 (#835898)

- 消除透過 file 通訊協定上傳時不必要的 inotify 事件 (#883002)

- 在範例中使用正確的通訊端類型 (#997185)

- 不會在 libssh2 未提供 MD5 指紋時損毀 (#1008178)

- 修正網路中斷時 curl --retry 的 SIGSEGV (#1009455)

- 允許使用 TLS 1.1 和 TLS 1.2 (#1012136)

- docs：更新 NSS 所支援加密套件的連結 (#1104160)

- 允許在 NSS 實作時使用 ECC 加密 (#1058767)

- 使 curl --trace-time 列印正確的時間 (#1120196)

- 如果使用 NSPR，讓工具在結束時呼叫 PR_Cleanup (#1146528)

- 在 NTLM HTTP 驗證期間忽略 CURLOPT_FORBID_REUSE (#1154747)

- 允許啟用/停用新的 AES 加密套件 (#1156422)

- 在 CURLINFO_HEADER_SIZE 中包含 Proxy 新增的回應標頭 (#1161163)

- 停用 libcurl-level 降級至 SSLv3 (#1154059)

- 不在失敗的 HEAD 要求後強制連線關閉 (#1168137)

- 修正 SSL 交握期間偶爾的 SIGSEGV (#1168668)

- 修正重複使用 FTPS 處置程式時的連線失敗 (#1154663)

- 修正重複使用錯誤的 HTTP NTLM 連線 (CVE-2014-0015)

- 修正使用不同登入認證時出現的連線重複使用 (CVE-2014-0138)

- 修正伺服器提供多個驗證選項時的驗證失敗情形 (#799557)

- 從上游測試套件重新整理 test172 中過期的 Cookie (#1069271)

- 修正關閉後寫入所造成的記憶體洩漏 (#1078562)

- nss：實作非封鎖 SSL 交握 (#1083742)