OracleVM 3.3:curl (OVMSA-2015-0107)
medium Nessus 插件 ID 85148
语言:
简介
远程 OracleVM 主机缺少一个或多个安全更新。描述
远程 OracleVM 系统缺少必要修补程序来解决关键安全更新:- 需要凭据以针对 NTLM 重用进行匹配 (CVE-2015-3143)
- 完成后关闭协商连接 (CVE-2015-3148)
- 拒绝传递给代理的 URL 中的 CRLF (CVE-2014-8150)
- 仅使用完全匹配主机的地址作为 Cookie 中的 IP 地址 (CVE-2014-3613)
- 修复 curl_easy_duphandle 中对 CURLOPT_COPYPOSTFIELDS 的处理 (CVE-2014-3707)
- 修复使用 aspell 发现的 manpage 拼写错误 (#1011101)
- 修复手册页中 NSS 加载 CA 证书的相关注释 (#1011083)
- 修复传输进行中对 DNS 缓存超时的处理 (#835898)
- 消除通过文件协议的上传时不必要的 inotify 事件 (#883002)
- 使用示例中正确的套接字类型 (#997185)
- libssh2 不提供 MD5 指纹时不崩溃 (#1008178)
- 修复网络故障时 curl --retry 的 SIGSEGV (#1009455)
- 允许使用 TLS 1.1 和 TLS 1.2 (#1012136)
- docs:更新 NSS 所支持的加密套件的链接 (#1104160)
- 允许使用由 NSS 实现的 ECC 密码 (#1058767)
- 使 curl --trace-time 打印正确的时间 (#1120196)
- 如果使用 NSPR,使工具在退出时调用 PR_Cleanup (#1146528)
- 忽略 NTLM HTTP 认证期间的 CURLOPT_FORBID_REUSE (#1154747)
- 允许启用/禁用新的 AES 加密套件 (#1156422)
- 将通过代理添加的响应头包括在 CURLINFO_HEADER_SIZE 中 (#1161163)
- 禁用 libcurl-level 降级到 SSLv3 (#1154059)
- 在 HEAD 请求失败后不强制连接关闭 (#1168137)
- 修复 SSL 握手期间的偶尔 SIGSEGV (#1168668)
- 修复重新使用 FTPS 句柄时的连接失败 (#1154663)
- 修复重新使用错误的 HTTP NTLM 连接 (CVE-2014-0015)
- 修复使用不同登录凭据时的连接重新使用 (CVE-2014-0138)
- 修复服务器提供多个认证选项时的认证失败 (#799557)
- 从上游测试套件刷新 test172 中过期的 Cookie (#1069271)
- 修复关闭后写入导致的内存泄漏 (#1078562)
- nss:实现非阻塞 SSL 握手 (#1083742)
解决方案
更新受影响的 curl / libcurl 程序包。另见
https://oss.oracle.com/pipermail/oraclevm-errata/2015-July/000355.html
插件详情
严重性: Medium
ID: 85148
文件名: oraclevm_OVMSA-2015-0107.nasl
版本: 2.5
类型: local
发布时间: 2015/7/31
最近更新时间: 2021/1/4
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 6.4
时间分数: 4.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
漏洞信息
CPE: p-cpe:/a:oracle:vm:curl, p-cpe:/a:oracle:vm:libcurl, cpe:/o:oracle:vm_server:3.3
必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2015/7/30
漏洞发布日期: 2014/2/1
参考资料信息
CVE: CVE-2014-0015, CVE-2014-0138, CVE-2014-3613, CVE-2014-3707, CVE-2014-8150, CVE-2015-3143, CVE-2015-3148