curl にセキュリティホール
発行日:2015,09,06
- 対象 (Vine Linuxバージョン):
6.3/i386, 6.3/x86_64
- 内容:
- curl に複数の問題が発見されました。
NTLM コネクションの再利用の処理に問題が発見されました。
第三者により、非認証のリクエストを介して、他のユーザとして接続される可能性があります。
(CVE-2015-3143)
sanitize_cookie_path 関数に問題が発見されました。
第三者により、巧妙に作られた Cookie のパスを介して、DoS状態にされるなど、不特定の影響を受ける可能性があります。
(CVE-2015-3145)
認証されたネゴシエートコネクションを適切に再利用しないため、第三者により、リクエストを介して、他のユーザとして接続される可能性があります。
(CVE-2015-3148)
なお、同時に発見されている CVE-2015-3144 は Vine6.x では非該当です。
- 修正済パッケージ/ファイル:
-
[ size ] [ SHA1 checksum ] [ file name ] 2268636 28f680af19e425dd39c02af4a2f050448928f973 curl-7.32.0-9vl6.src.rpm 599183 de38a5aa18f7b549e3714b06ccfb32ec77cc8f8f curl-7.32.0-9vl6.i686.rpm 209627 b4a5593f962495895fa1866c49920a87389bf5df curl-devel-7.32.0-9vl6.i686.rpm 593325 5e9ae343280d7334056393567b4ce3923066283c curl-7.32.0-9vl6.x86_64.rpm 209586 862d402318a240e6a90f67315a2e81c2ed11c732 curl-devel-7.32.0-9vl6.x86_64.rpm 205022 6b88b361fab907c087626a41df1352b6e24c66b6 compat32-curl-7.32.0-9vl6.i686.rpm 10468 948188dd6c4acf526ff6cce5c77e03663e420afa compat32-curl-devel-7.32.0-9vl6.i686.rpm
- 入手先:
- update-watch, synaptic または apt-get でアップグレードすることができます。
# apt-get update # apt-get upgrade
該当するパッケージをインストールしていない場合は、 更新の必要はありません。
また、各ミラーサイトのVine-6.3/updates/RPMS/i386 Vine-6.3/updates/RPMS/x86_64
からも個別に入手することができます。 - 関連URL:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3143
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3145
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3148
- http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-002484.html
- http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-002486.html
- http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-002487.html
- http://curl.haxx.se/docs/adv_20150422A.html
- http://curl.haxx.se/docs/adv_20150422B.html
- http://curl.haxx.se/docs/adv_20150422C.html