Scientific Linux 安全更新:SL6.x i386/x86_64 中的 curl
medium Nessus 插件 ID 74208
语言:
简介
远程 Scientific Linux 主机缺少一个或多个安全更新。描述
已发现当使用以下协议之一时,libcurl 可错误地将现有连接重新用于本应使用其他凭据或没有认证凭据的请求:具有 NTLM 认证、LDAP(S)、SCP 或 SFTP 的 HTTP(S)。如果使用 libcurl 库的应用程序通过某些认证凭据连接至远程服务器,则该缺陷可导致其他请求使用这些相同的凭据。(CVE-2014-0015、CVE-2014-0138)此更新还修复以下缺陷:
- 以前,libcurl 库在没有首先使用套接字终止 SSL 连接的情况下,关闭网络套接字。这导致关闭之后写入,以及随后泄漏由 SSL 库动态分配的内存。上游修补程序已应用于 libcurl 以修复此缺陷。因此,不再发生关闭后写入,并且 SSL 库不再泄漏内存。
- 以前,libcurl 库未实现非阻塞 SSL 握手,这会对基于 libcurl 的多 API 的应用程序的性能产生负面影响。为了修复此缺陷,libcurl 已实现非阻塞 SSL 握手。通过此更新,当 libcurl 的多 API 不能从/向底层网络套接字读取/写入数据时,就会立即将控制返回给应用程序。
- 以前,由于在构建期间运行的上游测试套件存在过期 cookie,不能从源中重新构建 curl 程序包。已应用上游修补程序,以推迟 Cookie 的到期日期,这实现了从源再次重新构建该程序包的可能性。
- 以前,当服务器提供 Kerberos 认证方法时,libcurl 库尝试使用此类方法进行认证。当服务器提供多种认证方法且 Kerberos 不是被选中的认证方法时,就会出现问题。上游修补程序已应用于 libcurl 以修复此缺陷。现在,如果 libcurl 选择其他认证方法,则不再使用 Kerberos 认证。
必须重新启动所有使用 libcurl 且正在运行的应用程序才能使此更新生效。
解决方案
更新受影响的数据包。另见
插件详情
严重性: Medium
ID: 74208
文件名: sl_20140527_curl_on_SL6_x.nasl
版本: 1.7
类型: local
代理: unix
发布时间: 2014/5/28
最近更新时间: 2021/1/14
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.2
CVSS v2
风险因素: Medium
基本分数: 6.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
漏洞信息
CPE: p-cpe:/a:fermilab:scientific_linux:curl, p-cpe:/a:fermilab:scientific_linux:curl-debuginfo, p-cpe:/a:fermilab:scientific_linux:libcurl, p-cpe:/a:fermilab:scientific_linux:libcurl-devel, x-cpe:/o:fermilab:scientific_linux
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
补丁发布日期: 2014/5/27
漏洞发布日期: 2014/2/2
参考资料信息
CVE: CVE-2014-0015, CVE-2014-0138