curl-7.61.1-18.el8
エラータID: AXSA:2021-1956:03
リリース日:
2021/06/14 Monday - 07:07
題名:
curl-7.61.1-18.el8
影響のあるチャネル:
Asianux Server 8 for x86_64
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- curl の libcurl にはダングリングポインタを使用する問題があり、データ送信時に誤った
接続を使用する脆弱性があります。(CVE-2020-8231)
- curl には、悪意のあるサーバーが FTP PASV レスポンスを使用することによって curl を
だまして指定した IP アドレスとポートに接続させる問題があるため、プライベートで非公
開なサービスに関する情報が抜き取られてしまう脆弱性があります。
- curl には FTP ワイルドカードのマッチング解析にスタックオーバーフローの問題があり、
制御不能な再帰が発生する脆弱性があります。(CVE-2020-8285)
- curl には OCSP レスポンスの検証が不十分なため、証明書の失効チェックを誤る脆弱性
があります。(CVE-2020-8286)
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2020-8231
Due to use of a dangling pointer, libcurl 7.29.0 through 7.71.1 can use the wrong connection when sending data.
Due to use of a dangling pointer, libcurl 7.29.0 through 7.71.1 can use the wrong connection when sending data.
CVE-2020-8284
A malicious server can use the FTP PASV response to trick curl 7.73.0 and earlier into connecting back to a given IP address and port, and this way potentially make curl extract information about services that are otherwise private and not disclosed, for example doing port scanning and service banner extractions.
A malicious server can use the FTP PASV response to trick curl 7.73.0 and earlier into connecting back to a given IP address and port, and this way potentially make curl extract information about services that are otherwise private and not disclosed, for example doing port scanning and service banner extractions.
CVE-2020-8285
curl 7.21.0 to and including 7.73.0 is vulnerable to uncontrolled recursion due to a stack overflow issue in FTP wildcard match parsing.
curl 7.21.0 to and including 7.73.0 is vulnerable to uncontrolled recursion due to a stack overflow issue in FTP wildcard match parsing.
CVE-2020-8286
curl 7.41.0 through 7.73.0 is vulnerable to an improper check for certificate revocation due to insufficient verification of the OCSP response.
curl 7.41.0 through 7.73.0 is vulnerable to an improper check for certificate revocation due to insufficient verification of the OCSP response.
追加情報:
N/A
ダウンロード:
SRPMS
- curl-7.61.1-18.el8.src.rpm
MD5: 22437bb9b7ab7ddc6a826fe8ee68d3d6
SHA-256: 5b9dd330cddc4724e66bcbba01cbce5ab006600794c41511ba4a6554f49a874d
Size: 2.39 MB
Asianux Server 8 for x86_64
- curl-7.61.1-18.el8.x86_64.rpm
MD5: 8f2347ece264734bc4ebb46d0abda75c
SHA-256: 989c878d824657a9f01bf63f46c779a26ab47bc92eeb708609b053707313b3aa
Size: 352.32 kB - libcurl-7.61.1-18.el8.x86_64.rpm
MD5: 2ca4ea1cad983322fa5a34df7a0ab268
SHA-256: b6bf6e9f838c5f698fb06d177c561fa6aba63faaf6a192bcedd466e489363b7d
Size: 298.05 kB - libcurl-devel-7.61.1-18.el8.x86_64.rpm
MD5: 522d27004c9eb1190e541f8a2b893b32
SHA-256: bfed438d2e6b94724e8f475be94b0d075950d6b8a2158382edc04f0baa972a2e
Size: 831.68 kB - libcurl-minimal-7.61.1-18.el8.x86_64.rpm
MD5: 9667181c0b01de9fea32d211b410acbf
SHA-256: 6f06f179d1fa900b87ef2433671a607f4a16dbb58fdc81e4cb242e37cced4c30
Size: 285.10 kB - libcurl-7.61.1-18.el8.i686.rpm
MD5: 586b039fc02ab148944ac405124c2e00
SHA-256: 06c12a336e98e74f5eb121098c4345e2d43b698c9a93aa2d8a5b3bf01c17355b
Size: 326.15 kB - libcurl-devel-7.61.1-18.el8.i686.rpm
MD5: d8f1133bdefb2431fa0ccf82a63241a8
SHA-256: 8f31eca6fa231cbbc90c72fa0290fd74635cc984b65744edf375c987345e60e1
Size: 831.73 kB - libcurl-minimal-7.61.1-18.el8.i686.rpm
MD5: 24785f00156c56867ce9f831fbf6efe6
SHA-256: b83d1b8fb6728b412021aa891fae438bc96cbdd7fed44c45d9207b3d75f2eb3e
Size: 311.69 kB