curl-7.29.0-35.el7
エラータID: AXSA:2016-1132:01
リリース日:
2016/11/30 Wednesday - 13:17
題名:
curl-7.29.0-35.el7
影響のあるチャネル:
Asianux Server 7 for x86_64
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- curl および libcurl にはクライアント証明書が変更された場合、TLSセッションの再開
を妨ぐことができず、リモートの攻撃者がセッションを再開して意図した制限をバイパ
スすることができる脆弱性があります。(CVE-2016-5419)
- curl および libcurl には、再利用のためのTLS接続を選択するとクライアント証明書
をチェックしないため、リモート攻撃者が既に作成された別のクライアント証明書を
活用することにより接続の認証を乗っ取ることができる脆弱性があります。
(CVE-2016-5420)
- NSS とともにビルドされた curl および libcurl がランタイムで libnsspem.so ライブラリ
が利用可能な場合、リモートの攻撃者が既にロードされているどんな認証情報も持たない
クライアント証明書をファイルから再利用することにより、TLS接続による認証を乗っ取る
ことができる脆弱性があります。これは、CVE-2016-5420 とは異なる脆弱性です。
(CVE-2016-7471)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2016-5419
curl and libcurl before 7.50.1 do not prevent TLS session resumption when the client certificate has changed, which allows remote attackers to bypass intended restrictions by resuming a session.
curl and libcurl before 7.50.1 do not prevent TLS session resumption when the client certificate has changed, which allows remote attackers to bypass intended restrictions by resuming a session.
CVE-2016-5420
curl and libcurl before 7.50.1 do not check the client certificate when choosing the TLS connection to reuse, which might allow remote attackers to hijack the authentication of the connection by leveraging a previously created connection with a different client certificate.
curl and libcurl before 7.50.1 do not check the client certificate when choosing the TLS connection to reuse, which might allow remote attackers to hijack the authentication of the connection by leveraging a previously created connection with a different client certificate.
CVE-2016-5420.
curl and libcurl before 7.50.1 do not check the client certificate when choosing the TLS connection to reuse, which might allow remote attackers to hijack the authentication of the connection by leveraging a previously created connection with a different client certificate.
curl and libcurl before 7.50.1 do not check the client certificate when choosing the TLS connection to reuse, which might allow remote attackers to hijack the authentication of the connection by leveraging a previously created connection with a different client certificate.
CVE-2016-7141
curl and libcurl before 7.50.2, when built with NSS and the libnsspem.so library is available at runtime, allow remote attackers to hijack the authentication of a TLS connection by leveraging reuse of a previously loaded client certificate from file for a connection for which no certificate has been set, a different vulnerability than CVE-2016-5420.
curl and libcurl before 7.50.2, when built with NSS and the libnsspem.so library is available at runtime, allow remote attackers to hijack the authentication of a TLS connection by leveraging reuse of a previously loaded client certificate from file for a connection for which no certificate has been set, a different vulnerability than CVE-2016-5420.
追加情報:
N/A
ダウンロード:
SRPMS
- curl-7.29.0-35.el7.src.rpm
MD5: c1312c7521f3d3cd2b66938fceb410d2
SHA-256: 02a6f68065c5cafcadf7636acfdb7cd0ed15cbecc8cd4ce146e50e0a0266353b
Size: 2.18 MB
Asianux Server 7 for x86_64
- curl-7.29.0-35.el7.x86_64.rpm
MD5: 164c6b35c700a64d054ff4e348c895ff
SHA-256: 5c1b2da933b50d72114f39890006c0de99a650216880f939f8265cbf08569e00
Size: 264.49 kB - libcurl-7.29.0-35.el7.x86_64.rpm
MD5: 9c2ff1f9c663329fc935342e1dc2c5ef
SHA-256: 98f64ef269b4f54301feda1ccc778ccaa9bc7f12b2872ee7706523c66bac6abf
Size: 217.02 kB - libcurl-devel-7.29.0-35.el7.x86_64.rpm
MD5: 71f5341786ae528c419dc1042deba969
SHA-256: 08a8751c70d5ccf9ecd791264169013f23bdfcd0bf60a5963424d31a88bd6bf3
Size: 297.69 kB - libcurl-7.29.0-35.el7.i686.rpm
MD5: cc0608deddf893786285316405cea6b7
SHA-256: b351285c0ee24c25339664f678f0c374bce3fc0f5cfaccc205d120de4a3f8be0
Size: 219.70 kB - libcurl-devel-7.29.0-35.el7.i686.rpm
MD5: c3e1e01ef64996e4ac78c934a9d01c16
SHA-256: 99788bb687dca7cb036725a0e38d15b62c3af978df93fe4f61573315e2628e86
Size: 297.75 kB
English