openSUSE 安全更新：privoxy (openSUSE-2013-242)

medium Nessus 插件 ID 74941

语言：

简介

远程 openSUSE 主机缺少安全更新。

描述

privoxy 已更新到 3.0.21 稳定版本，修复了 CVE-2013-2503 (bnc#809123)

- 3.0.21 中的变更

- 在类似 POSIX 的平台上，正确地拒绝了文件描述符值高于 FD_SETSIZE 的网络套接字。以前它们可在允许达到限值的配置中造成内存损坏。

- 删除代理认证标头，除非使用新指令 enable-proxy-authentication-forwarding。转发标头可能允许恶意站点诱骗用户为它们提供登录信息。由 Chris John Riley 报告。

- 由于仅在有 unistd.h 的平台上包括它，因此请在 OS/2 上再次编译。

- show-status 页面显示 FEATURE_STRPTIME_SANITY_CHECKS 状态。

- 已经重新定位几个理论上可在调试版本中取消引用空指针的 assert()。

- 向通用启动脚本添加了 LSB 信息块。
基于来自 Natxo Asenjo 的修补程序。

- max-client-connections 默认值已更改为 128，此值对于大多数设置应绰绰有余。

- 阻断 rover.ebay./ar.*\&adtype= 而不是“/.*\&adtype=”，后者造成过多误报。
由 u302320 在 #360284 中报告，额外反馈来自 Adam Piggott。

- 取消阻断“.advrider.com/”和“/.*ADVrider”。在 #3603636 中匿名报告。

- 停止阻断“/js/slider\.js”。由 Adam Piggott 在 #3606635 中和 _lvm 在 #2791160 中报告。

- 添加了 iframe 过滤器。

- 完整的 GPLv2 文本现已包括在用户手册中，因此 Privoxy 本身即可服务于它，用户可阅读它而不必首先费力地读完 GPLv3 广告。

- 给以前配置中由于转换脚本中的缺陷而被忽略的几个章节标题正确地编号和加下划线。由 Ralf Jungblut 报告。

- 改进了支持说明，希望在请求支持时不会无意间提供不充足的信息。缺陷报告中需要的信息通常在支持请求中也需要，以前这一点并不明显。

- 删除了关于多年未提供的程序包的文档。

- 只有不在 verbose 模式下运行时才记录测试编号测试的位置很少相关并且它以前

- 有关完整的变更列表，请参阅此程序包附带的变更日志文件

解决方案

更新受影响的 privoxy 程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=809123

插件详情

严重性: Medium

ID: 74941

文件名: openSUSE-2013-242.nasl

版本: 1.3

类型: local

代理: unix

系列: SuSE Local Security Checks

发布时间: 2014/6/13

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Medium

基本分数: 5.8

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

漏洞信息

CPE: p-cpe:/a:novell:opensuse:privoxy, p-cpe:/a:novell:opensuse:privoxy-debuginfo, p-cpe:/a:novell:opensuse:privoxy-debugsource, cpe:/o:novell:opensuse:12.1, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2013/3/18

参考资料信息

CVE: CVE-2013-2503