FreeBSD：cURL 库 -- 使用 GnuTLS 时的证书名称检查忽略 (4e1f4abc-6837-11e3-9cda-3c970e169bc2)

medium Nessus 插件 ID 71530

语言：

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

cURL 项目报告：

当数字签名验证关闭时，如果缺少对证书 CN 或 SAN 名称字段的检查，则 libcurl 容易受到影响。

libcurl 提供了两种单独和独立的选项来验证服务器的 TLS 证书。CURLOPT_SSL_VERIFYPEER 和 CURLOPT_SSL_VERIFYHOST。前一个选项告知 libcurl 使用 CA 证书捆绑包验证信任链，而后一个选项告知 libcurl 确认服务器证书中的名称字段满足标准。在默认情况下这两个选项均启用。

此缺陷会造成以下影响：当应用程序禁用 CURLOPT_SSL_VERIFYPEER 时，libcurl 会错误地同样跳过 CURLOPT_SSL_VERIFYHOST 检查。应用程序可禁用 CURLOPT_SSL_VERIFYPEER，然后仍可使用其他方法进行自检，从而实现安全目的。

由于 curl 命令行工具同时启用或禁用这两个选项，因此不会受到此问题的影响。