Amazon Linux AMI:curl (ALAS-2016-730)

medium Nessus 插件 ID 93008
全新!漏洞优先级评级 (VPR)

Tenable 测算每个漏洞的动态 VPR。VPR 将漏洞信息与威胁情报和机器学习算法相结合,预测哪些漏洞最有可能在攻击中被利用。了解详细信息: VPR 的定义及其与 CVSS 的区别。

VPR 得分: 6.7

简介

远程 Amazon Linux AMI 主机缺少安全更新。

描述

当客户端证书已变更时,curl 和低于 7.50.1 的 libcurl 并未阻止 TLS 会话恢复,远程攻击者可借此通过恢复会话绕过预期限制。(CVE-2016-5419)

当选择要重复使用的 TLS 连接时,curl 和低于 7.50.1 的 libcurl 并未检查客户端证书,这可能会允许远程攻击者通过利用先前使用不同客户端证书创建的连接,劫持连接的认证。
(CVE-2016-5420)

低于 7.50.1 版的 libcurl 允许攻击者控制要使用哪一个连接,或可能通过不明矢量造成其他不明影响。
(CVE-2016-5421)

解决方案

运行“yum update curl”以更新系统。

另见

https://alas.aws.amazon.com/ALAS-2016-730.html

插件详情

严重性: Medium

ID: 93008

文件名: ala_ALAS-2016-730.nasl

版本: 2.4

类型: local

代理: unix

发布时间: 2016/8/18

最近更新时间: 2020/5/11

依存关系: ssh_get_info.nasl

风险信息

风险因素: Medium

VPR 得分: 6.7

CVSS v2.0

基本分数: 6.8

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3.0

基本分数: 8.1

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

漏洞信息

CPE: cpe:2.3:o:amazon:linux:*:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:curl:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:curl-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:libcurl:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:libcurl-devel:*:*:*:*:*:*:*

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

补丁发布日期: 2016/8/17

漏洞发布日期: 2016/8/10

参考资料信息

CVE: CVE-2016-5419, CVE-2016-5420, CVE-2016-5421

ALAS: 2016-730