openSUSE 安全更新:curl (openSUSE-2015-125)

medium Nessus 插件 ID 81287

简介

远程 openSUSE 主机缺少安全更新。

描述

已更新到版本 7.40.0,修复了两个安全问题。

修复了这些安全问题:

- CVE-2014-8150:使用 HTTP 代理时,libcurl 6.0 到 7.40.0 之前的 libcurl 7.x 中的 CRLF 注入漏洞允许远程攻击者通过 URL 中的 CRLF 序列来注入任意 HTTP 标头并进行 HTTP 响应拆分攻击 (bnc#911363)。

- CVE-2014-3707:通过 CURLOPT_COPYPOSTFIELDS 选项运行时,libcurl 7.17.1 到 7.38.0 中的 curl_easy_duphandle 函数未正确复制 HTTP POST 数据以进行简单处理,从而触发了允许远程 Web 服务器读取敏感内存信息的越界读取 (bnc#901924)。

已修复下列非安全性问题:

- http_digest:添加了对基于 Windows SSPI 的认证的支持

- version info:将 Kerberos V5 添加到了受支持的功能

- Makefile:添加了 WinIDN 的 VC 目标

- SSL:为公钥固定添加 PEM 格式支持

- smtp:添加了对邮件发送期间 Unix 换行符转换的支持

- smb:添加了对 SMB/CIFS 协议的初始支持

- 添加了对 unix 域套接字上的 HTTP 的支持,

- 通过 CURLOPT_UNIX_SOCKET_PATH 和 --unix-socket

- sasl:添加了对基于 GSS-API 的 Kerberos V5 认证的支持

解决方案

更新受影响的 curl 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=901924

https://bugzilla.opensuse.org/show_bug.cgi?id=911363

插件详情

严重性: Medium

ID: 81287

文件名: openSUSE-2015-125.nasl

版本: 1.4

类型: local

代理: unix

发布时间: 2015/2/11

最近更新时间: 2021/1/19

支持的传感器: Nessus Agent

风险信息

VPR

风险因素: Medium

分数: 4.2

CVSS v2

风险因素: Medium

基本分数: 4.3

矢量: AV:N/AC:M/Au:N/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:novell:opensuse:curl, p-cpe:/a:novell:opensuse:curl-debuginfo, p-cpe:/a:novell:opensuse:curl-debugsource, p-cpe:/a:novell:opensuse:libcurl-devel, p-cpe:/a:novell:opensuse:libcurl4, p-cpe:/a:novell:opensuse:libcurl4-32bit, p-cpe:/a:novell:opensuse:libcurl4-debuginfo, p-cpe:/a:novell:opensuse:libcurl4-debuginfo-32bit, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

补丁发布日期: 2015/2/3

参考资料信息

CVE: CVE-2014-3707, CVE-2014-8150