OracleVM 3.4:curl (OVMSA-2020-0035)
critical Nessus 插件 ID 140168
语言:
简介
The remote OracleVM host is missing one or more security updates.描述
远程 OracleVM 系统缺少解决关键安全更新的必要补丁:- 修复 TFTP 小块大小堆缓冲区溢出问题
462
- 安全修补 [OraBug: 28939992]
- CVE-2016-8615 其他服务器的 cookie 注入
- CVE-2016-8616 不区分大小写的密码比较
- CVE-2016-8617 通过未经检查的乘法进行 OOB 写入
- CVE-2016-8618 curl_maprintf 中发生双重释放
- CVE-2016-8619 krb5 代码中发生双重释放
- CVE-2016-8621 curl_getdate 读取越界
- CVE-2016-8623 通过共享 cookie 进行释放后使用
- CVE-2016-8624 具有 # 的 URL 解析无效
- 使用 libcurl 中的 PK11_CreateManagedGenericObject 防止内存泄漏
- 修复当 WWW-Authenticate 标头重复时身份验证失败的问题 (#1757643)
解决方案
Update the affected curl / libcurl packages.另见
https://curl.haxx.se/docs/CVE-2016-8615.html
https://curl.haxx.se/docs/CVE-2016-8616.html
https://curl.haxx.se/docs/CVE-2016-8617.html
https://curl.haxx.se/docs/CVE-2016-8618.html
https://curl.haxx.se/docs/CVE-2016-8619.html
https://curl.haxx.se/docs/CVE-2016-8621.html
https://curl.haxx.se/docs/CVE-2016-8623.html
插件详情
严重性: Critical
ID: 140168
文件名: oraclevm_OVMSA-2020-0035.nasl
版本: 1.2
类型: local
发布时间: 2020/9/2
最近更新时间: 2020/9/4
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
时间矢量: CVSS2#E:U/RL:OF/RC:C
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:oracle:vm:curl, p-cpe:/a:oracle:vm:libcurl, cpe:/o:oracle:vm_server:3.4
必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2020/9/1
漏洞发布日期: 2018/7/31
参考资料信息
CVE: CVE-2016-8615, CVE-2016-8616, CVE-2016-8617, CVE-2016-8618, CVE-2016-8619, CVE-2016-8621, CVE-2016-8623, CVE-2016-8624, CVE-2019-5482