Amazon Linux 2:curl (ALAS-2022-1875)

critical Nessus 插件 ID 167236

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 curl 版本低于 7.79.1-6。因此,它受到 ALAS2-2022-1875 公告中提及的多个漏洞影响。

- 恶意服务器可在 HTTP 响应中提供过量的 `Set-Cookie:` 标头,而低于 7.84.0 版的 curl 会存储所有这些标头。数量够多(大)的 cookie 会向此服务器或这些 cookie 相匹配的其他服务器发出后续 HTTP 请求,从而使创建的请求超过 curl 为避免发送过大请求(1048576 字节)而在内部使用的阈值,而没有返回错误。只要保留和匹配这些 cookie 并且它们未过期,此拒绝状态就可能持续存在。由于 cookie 匹配规则,“foo.example.com”上的服务器可以设置匹配“bar.example.com”的 cookie,从而使同级服务器可以有效造成相同二级域上使用此方法的同级网站拒绝服务。(CVE-2022-32205)

- curl 7.84.0 以下版本支持链接的 HTTP 压缩算法,这意味着服务器响应可被多次压缩,并且可能使用不同的算法。此解压缩链中可接受的链接数量不受限制,因此恶意服务器可以插入数量几乎无限制的压缩步骤。使用此类解压缩链可能导致 malloc 炸弹,使 curl 最终消耗大量分配的堆内存,或尝试并返回内存不足错误。(CVE-2022-32206)

- 低于 7.84.0 版的 curl 将 cookie、alt-svc 和 hsts 数据保存到本地文件时,会通过将临时名称重命名为最终目标文件名称来完成操作,从而使该操作成为原子型操作。在该重命名操作中,它可能会意外*放宽*对目标文件的权限,使更多用户可访问更新后的文件。(CVE-2022-32207)

- 低于 7.84.0 版的 curl 在执行受 krb5 保护的 FTP 传输时,会错误处理消息验证失败。
攻击者可利用此缺陷执行中间人攻击而不被发现,甚至可以向客户端注入数据。(CVE-2022-32208)

- 当 curl 用于检索和解析来自 HTTP(S) 服务器的 cookie 时,它使用控制代码接受 cookie,这些代码稍后被发送回 HTTP 服务器时可能会使服务器返回 400 响应。
有效地令辅助站点拒绝向所有同级站点提供服务。(CVE-2022-35252)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行 'yum update curl' 以更新系统。

另见

https://alas.aws.amazon.com/AL2/ALAS-2022-1875.html

https://alas.aws.amazon.com/cve/html/CVE-2022-32205.html

https://alas.aws.amazon.com/cve/html/CVE-2022-32206.html

https://alas.aws.amazon.com/cve/html/CVE-2022-32207.html

https://alas.aws.amazon.com/cve/html/CVE-2022-32208.html

https://alas.aws.amazon.com/cve/html/CVE-2022-35252.html

插件详情

严重性: Critical

ID: 167236

文件名: al2_ALAS-2022-1875.nasl

版本: 1.3

类型: local

代理: unix

发布时间: 2022/11/9

最近更新时间: 2022/11/14

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:U/RL:OF/RC:C

CVSS 分数来源: CVE-2022-32207

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:curl, p-cpe:/a:amazon:linux:curl-debuginfo, p-cpe:/a:amazon:linux:libcurl, p-cpe:/a:amazon:linux:libcurl-devel, cpe:/o:amazon:linux:2

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2022/10/31

漏洞发布日期: 2022/6/27

参考资料信息

CVE: CVE-2022-32205, CVE-2022-32206, CVE-2022-32207, CVE-2022-32208, CVE-2022-35252

IAVA: 2022-A-0350-S, 2022-A-0255-S