curl にセキュリティホール
発行日:2015,01,27
- 対象 (Vine Linuxバージョン):
6.2/i386, 6.2/x86_64
- 内容:
- curl に複数の問題が発見されました。
HTTP や FTP 以外のプロトコルでの転送を要求された場合に、誤った接続を再利用する可能性があります。
CVE-2014-0015 と似た問題ですが、異なる問題です。
(CVE-2014-0138)
libcurl がRFC 2828 に準拠せず、誤ったIPアドレスを含むワイルドカード SSL証明書を誤って検証する可能性があります。
(CVE-2014-0139)
curl_easy_duphandle 関数に問題が発見されました。
悪意あるサーバに接続した場合、重要なメモリ情報を読まれる可能性があります。
(CVE-2014-3707)
CRLF インジェクションの脆弱性が発見されました。
第三者により、URL の CRLF シーケンスを介して、任意の HTTP ヘッダを挿入され、HTTP レスポンス分割攻撃を実行される可能性があります。
(CVE-2014-8150)
cURL のクッキーの処理に複数の問題が発見されました。
libcurl に誤ったサイトにクッキーを送信させる、あるいは任意のサイトに他のサイトのクッキーをセットさせることをできる可能性があります。
(CVE-2014-3613)
任意のサイトにクッキーをセットさせ、異なる無関係のサイトやドメインへの送信を許してしまう可能性があります。
(CVE-2014-3620)
- 修正済パッケージ/ファイル:
-
[ size ] [ SHA1 checksum ] [ file name ] 2253198 a94c82b50ed502d10194c4ff8db270966424fd51 curl-7.32.0-8vl6.src.rpm 598289 efe4accb1b7c3c84dfd6b1db9cbf9ad8139daa2c curl-7.32.0-8vl6.i686.rpm 209392 46983cb3bf5cd4a54d68214340c19305b59ae35e curl-devel-7.32.0-8vl6.i686.rpm 592497 480584fc4ee362c49aaa041e26d264772e55c324 curl-7.32.0-8vl6.x86_64.rpm 209346 0507d6b3b353b2e9cfa3c6796ba05e3363e0cd99 curl-devel-7.32.0-8vl6.x86_64.rpm 204111 f642ca261bda1e6fddb8c61e87d9fb4792aab0e6 compat32-curl-7.32.0-8vl6.i686.rpm 10237 15afc6c9b6cbeff5c9ee10ef6e84b9b932ba956e compat32-curl-devel-7.32.0-8vl6.i686.rpm
- 入手先:
- update-watch, synaptic または apt-get でアップグレードすることができます。
# apt-get update # apt-get upgrade
該当するパッケージをインストールしていない場合は、 更新の必要はありません。
また、各ミラーサイトのVine-6.2/updates/RPMS/i386 Vine-6.2/updates/RPMS/x86_64
からも個別に入手することができます。 - 関連URL:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0138
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0139
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3613
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3620
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3707
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8150
- http://curl.haxx.se/docs/adv_20140326A.html
- http://curl.haxx.se/docs/adv_20140326B.html
- http://curl.haxx.se/docs/adv_20140910A.html
- http://curl.haxx.se/docs/adv_20140910B.html
- http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-005464.html
- http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-007683.html
- http://vinelinux.org/errata/6x/20140409-4.html