OracleVM 3.4:curl (OVMSA-2020-0035)

critical Nessus 插件 ID 140168

简介

The remote OracleVM host is missing one or more security updates.

描述

远程 OracleVM 系统缺少解决关键安全更新的必要补丁:

- 修复 TFTP 小块大小堆缓冲区溢出问题

462

- 安全修补 [OraBug: 28939992]

- CVE-2016-8615 其他服务器的 cookie 注入

- CVE-2016-8616 不区分大小写的密码比较

- CVE-2016-8617 通过未经检查的乘法进行 OOB 写入

- CVE-2016-8618 curl_maprintf 中发生双重释放

- CVE-2016-8619 krb5 代码中发生双重释放

- CVE-2016-8621 curl_getdate 读取越界

- CVE-2016-8623 通过共享 cookie 进行释放后使用

- CVE-2016-8624 具有 # 的 URL 解析无效

- 使用 libcurl 中的 PK11_CreateManagedGenericObject 防止内存泄漏

- 修复当 WWW-Authenticate 标头重复时身份验证失败的问题 (#1757643)

解决方案

Update the affected curl / libcurl packages.

另见

https://curl.haxx.se/docs/CVE-2016-8615.html

https://curl.haxx.se/docs/CVE-2016-8616.html

https://curl.haxx.se/docs/CVE-2016-8617.html

https://curl.haxx.se/docs/CVE-2016-8618.html

https://curl.haxx.se/docs/CVE-2016-8619.html

https://curl.haxx.se/docs/CVE-2016-8621.html

https://curl.haxx.se/docs/CVE-2016-8623.html

https://curl.haxx.se/docs/CVE-2016-8624.html

http://www.nessus.org/u?f4c2cdb6

插件详情

严重性: Critical

ID: 140168

文件名: oraclevm_OVMSA-2020-0035.nasl

版本: 1.2

类型: local

发布时间: 2020/9/2

最近更新时间: 2020/9/4

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:U/RL:OF/RC:C

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:vm:curl, p-cpe:/a:oracle:vm:libcurl, cpe:/o:oracle:vm_server:3.4

必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2020/9/1

漏洞发布日期: 2018/7/31

参考资料信息

CVE: CVE-2016-8615, CVE-2016-8616, CVE-2016-8617, CVE-2016-8618, CVE-2016-8619, CVE-2016-8621, CVE-2016-8623, CVE-2016-8624, CVE-2019-5482