CentOS 6:curl (CESA-2015:1254)

medium Nessus 插件 ID 85009

简介

远程 CentOS 主机缺少一个或多个安全更新。

描述

更新后的 curl 程序包修复了多个安全问题和缺陷并添加了两项增强,现在可用于 Red Hat Enterprise Linux 6。

Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

curl 程序包提供了 libcurl 库和 curl 实用工具,用于从使用多种协议(包括 HTTP、FTP 和 LDAP)的服务器下载文件。

已发现在解析接收的 HTTP Cookie 时,libcurl 库未正确处理部分文本 IP 地址。通过诱骗用户连接到恶意服务器,攻击者可利用此缺陷将用户的 cookie 设置为构建的域,从而更容易地利用与 cookie 相关的其他问题。(CVE-2014-3613)

在 libcurl 库执行连接句柄的复制的方式中发现一个缺陷。如果应用程序为句柄设置了 CURLOPT_COPYPOSTFIELDS 选项,使用句柄的复制可导致应用程序崩溃或泄露其部分内存。(CVE-2014-3707)

已发现 libcurl 库无法正确处理含有嵌入行尾字符的 URL。能够通过 HTTP 代理迫使应用程序使用 libcurl 访问特别构建的 URL 的攻击者,可以利用此缺陷将额外的标头注入请求或构建额外的请求。(CVE-2014-8150)

已发现 libcurl 未正确实现 NTLM 和 Negotiate 认证的各个方面。如果应用程序以特定方式使用 libcurl 和受影响的机制,将会出现由错误认证的用户发送的对之前 NTLM 认证服务器的特定请求。此外,HTTP Negotiate 认证的请求的初始凭据组可以在后续请求中重新使用,即使已指定一组不同的凭据。(CVE-2015-3143、CVE-2015-3148)

Red Hat 在此感谢 cURL 项目报告这些问题。

缺陷补丁:

* 通过 libcurl 可以协议外的方式回退到 SSL 版本 3.0 (SSLv3.0)。攻击者可滥用回退以强制 SSL 版本降级。已从 libcurl 中删除该回退。需要此功能的用户可以通过 libcurl API 明确启用 SSLv3.0。(BZ#1154059)

* 通过 FILE 协议进行的单个上传传输会将目标文件打开两次。如果 inotify 内核子系统监控该文件,会不必要地产生两个事件。现在每次上传只打开文件一次。(BZ#883002)

* 当系统在 FIPS 模式下运行时,使用 libcurl 进行 SCP/SFTP 传输的实用工具可能会意外终止。(BZ#1008178)

* 使用带有 curl 实用工具的“--retry”选项可导致 curl 因分段错误而意外终止。现在,添加“--retry”不会再导致 curl 崩溃。(BZ#1009455)

* 打印时间戳时,“curl --trace-time”命令未使用正确的本地时间。现在,“curl --trace-time”将按预期方式工作。
(BZ#1120196)

* Valgrind 实用工具可以报告 curl 退出中的动态分配内存泄漏。现在,curl 在退出中执行 NetScape Portable Runtime (NSPR) 库的全局关闭,valgrind 不再报告内存泄漏。(BZ#1146528)

* 以前,当代理服务器将其自身的标头附加到 HTTP 响应中时,libcurl 会返回 CURLINFO_HEADER_SIZE 字段的错误值。现在,返回的值为有效值。
(BZ#1161163)

增强:

* “--tlsv1.0”、“--tlsv1.1”和“--tlsv1.2”选项可用于指定要由 NSS 协商的 TLS 协议的次要版本。现在,“--tlsv1”选项可协商由客户端和服务器同时支持的 TLS 协议的最高版本。(BZ#1012136)

* 现在可以明确启用或禁用将用于 TLS 的 ECC 和新的 AES 加密套件。(BZ#1058767、BZ#1156422)

建议所有 curl 用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序,并添加了这些增强。

解决方案

更新受影响的 curl 程序包。

另见

http://www.nessus.org/u?c96865b1

插件详情

严重性: Medium

ID: 85009

文件名: centos_RHSA-2015-1254.nasl

版本: 2.8

类型: local

代理: unix

发布时间: 2015/7/28

最近更新时间: 2021/1/4

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2014-3613

漏洞信息

CPE: p-cpe:/a:centos:centos:curl, p-cpe:/a:centos:centos:libcurl, p-cpe:/a:centos:centos:libcurl-devel, cpe:/o:centos:centos:6

必需的 KB 项: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2015/7/26

漏洞发布日期: 2014/11/15

参考资料信息

CVE: CVE-2014-3613, CVE-2014-3707, CVE-2014-8150, CVE-2015-3143, CVE-2015-3148

BID: 69748, 70988, 71964, 74299, 74301

RHSA: 2015:1254