curl-7.15.5-9.AXS3
エラータID: AXSA:2010-170:01
リリース日:
2010/04/01 Thursday - 12:18
題名:
curl-7.15.5-9.AXS3
影響のあるチャネル:
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- libcurl の content_encoding.c は zlib が有効な場合、自動伸長を要求するアプリケーションへ送るコールバックデータ量を適切に制限しておらず、巧妙に細工した圧縮データをアプリケーションに送ることによって、リモートの攻撃者がサービス拒否 (アプリケーションのクラッシュ) を引き起こしたり、あるいは不特定の影響を与える可能性のある脆弱性があります。(CVE-2010-0734)
[Bug Fix]
- curl を使用してアップロードを行っている場合、コネクションが切断したりリセットされた場合、CPUを100%使いきってしまう問題を修正しました。
- GSS-negotiate 認証を行った後に、コネクションを再利用しようとすると curl がクラッシュする問題を修正しました。
[Enhancement]
- "curl -h" で表示されるヘルプに "--ftp-account" と "--ftp-alternative-to-user"
オプションについての記述を追加しました。
- PEM (Privacy Enhanced Mail) ファイルからの証明書失効ファイル (CRLs) の読み込みをサポートしました。
- socks プロキシを用いている場合、IPv6, FTPS, LDAP がサポートされないことを man ページに明記しました。
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2010-0734
content_encoding.c in libcurl 7.10.5 through 7.19.7, when zlib is enabled, does not properly restrict the amount of callback data sent to an application that requests automatic decompression, which might allow remote attackers to cause a denial of service (application crash) or have unspecified other impact by sending crafted compressed data to an application that relies on the intended data-length limit.
content_encoding.c in libcurl 7.10.5 through 7.19.7, when zlib is enabled, does not properly restrict the amount of callback data sent to an application that requests automatic decompression, which might allow remote attackers to cause a denial of service (application crash) or have unspecified other impact by sending crafted compressed data to an application that relies on the intended data-length limit.
追加情報:
N/A
ダウンロード:
Asianux Server 3 for x86
- curl-7.15.5-9.AXS3.i386.rpm
MD5: 4f6afd6072444b6585eb133a1ab2947c
SHA-256: 6bb3af10ede249de8823892a7abdba3430c975e952d1b0d51ea1c9189374d57a
Size: 267.22 kB - curl-devel-7.15.5-9.AXS3.i386.rpm
MD5: 81cecf8e9637c3af58d39fb773a6e703
SHA-256: e90634875bd622a923c5c7dcdc7e999b6c4692c825ba68bfd05ade552680093b
Size: 310.52 kB
Asianux Server 3 for x86_64
- curl-7.15.5-9.AXS3.x86_64.rpm
MD5: 6bb7654b7d3387ddb48d84b778d9d52a
SHA-256: 7856361f86f7e1de8009b2d7e0080d5cf625e075a02f45c89c19867b03544731
Size: 264.59 kB - curl-devel-7.15.5-9.AXS3.x86_64.rpm
MD5: 4ccc02433c2eb24c2162cb03200c1d7b
SHA-256: f20dfdc21ba3059a2dba3059ddb8c5032368546aab0fc5925448f23f613c6113
Size: 318.70 kB