CentOS 7:curl (CESA-2015:2159)

medium Nessus Plugin ID 87138

Synopsis

遠端 CentOS 主機缺少一個或多個安全性更新。

描述

現已提供適用於 Red Hat Enterprise Linux 7 的更新版 curl 套件,可修正多個安全性問題、數個錯誤,並新增兩個增強功能。

Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

curl 套件會提供 libcurl 程式庫和 curl 公用程式,以便從使用多種通訊協定的伺服器下載檔案,包括 HTTP、FTP 和 LDAP。

據發現,libcurl 程式庫在剖析已收到的 HTTP Cookie 時,無法正確處理部分常值 IP 位址。能夠誘騙使用者連線至惡意伺服器的攻擊者可利用此瑕疵,將使用者的 Cookie 設為特製的網域,使其他與 Cookie 相關的問題更容易遭到惡意利用。(CVE-2014-3613)

在 libcurl 程式庫複製連線控制代碼的方式中發現一個瑕疵。如果應用程式為控制代碼設定 CURLOPT_COPYPOSTFIELDS 選項,使用控制代碼的複製功能可能使應用程式損毀,或洩漏其部分記憶體。(CVE-2014-3707)

據發現,libcurl 程式庫未能正確處理包含內嵌行結尾字元的 URL。有能力利用 libcurl 透過 HTTP proxy 存取特製 URL,並製作應用程式的攻擊者,即可利用此瑕疵插入其他標頭到要求中,或建構其他要求。(CVE-2014-8150)

據發現,libcurl 以不正確的方式實作 NTLM 和交涉驗證的層面。如果應用程式以特定的方式使用 libcurl 和受影響的機制,對於先前經 NTLM 驗證之伺服器的某些要求可能會顯示為由經驗證的錯誤使用者傳送。此外,可能會在後續的要求中重複使用最初一組適用於 HTTP 交涉驗證要求的認證,但指定另一組不同的認證。(CVE-2015-3143、CVE-2015-3148)

Red Hat 要感謝 cURL 專案報告這些問題。

錯誤修正:

* libcurl 可使用通訊協定範圍外 (out-of-protocol) 遞補至 SSL 3.0。
攻擊者可濫用遞補,強制降級 SSL 版本。已從 libcurl 移除遞補。若使用者需要此功能,可透過 libcurl API 明確啟用 SSL 3.0。(BZ#1154060)

* libcurl 不會再預設為停用 TLS 1.1 和 TLS 1.2。
您可以透過 libcurl API 明確停用這些設定。(BZ#1170339)

* FTP 作業 (如:下載檔案) 原本需要相當長的時間才能完成。現在,libcurl 中的 FTP 實作可正確設定連線的封鎖方向,以及預估的逾時值,進而加快 FTP 傳輸速度。(BZ#1218272)

增強功能:

* 執行更新版套件後,即可明確啟用或停用要用於 TLS 通訊協定的全新進階加密標準 (AES) 加密套件。(BZ#1066065)

* libcurl 程式庫未實作非封鎖 SSL 交握,這會對以 libcurl 多重 API 為基礎的應用程式,產生負面的效能影響。已在 libcurl 中實作非封鎖 SSL 交握,現在無論 libcurl 多重 API 是否可以從基礎網路通訊端往來讀取或寫入資料,都可立即將控制項傳回應用程式。(BZ#1091429)

* libcurl 程式庫對不具有效檔案描述符號的動作 (即使只是短時作業),使用了不必要的長時封鎖延遲。
有些動作 (例如:剖析使用 /etc/hosts 的主機名稱) 需要很長的時間才能完成。已修改 libcurl 中的封鎖程式碼,現在初始延遲時間很短,並且會逐漸增加直到事件發生。(BZ#1130239)

建議所有 curl 使用者皆升級至這些更新版套件,其中包含可更正這些問題的反向移植修補程式,並新增這些增強功能。

解決方案

更新受影響的 curl 套件。

另請參閱

http://www.nessus.org/u?cd440567

Plugin 詳細資訊

嚴重性: Medium

ID: 87138

檔案名稱: centos_RHSA-2015-2159.nasl

版本: 2.8

類型: local

代理程式: unix

已發布: 2015/12/2

已更新: 2021/1/4

支持的傳感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure

風險資訊

VPR

風險因素: Medium

分數: 5.1

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: AV:N/AC:L/Au:N/C:N/I:P/A:N

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2014-3613

弱點資訊

CPE: p-cpe:/a:centos:centos:curl, p-cpe:/a:centos:centos:libcurl, p-cpe:/a:centos:centos:libcurl-devel, cpe:/o:centos:centos:7

必要的 KB 項目: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/11/30

弱點發布日期: 2014/11/15

參考資訊

CVE: CVE-2014-3613, CVE-2014-3707, CVE-2014-8150, CVE-2015-3143, CVE-2015-3148

RHSA: 2015:2159