安全漏洞

安全漏洞补丁公告

当前位置  >  首页  >  服务支持  >  安全漏洞  >  安全漏洞补丁公告

公告ID(KYSA-202304-1026

公告ID:KYSA-202304-1026 公告摘要:curl安全漏洞 等级:Low 发布日期:2023-04-18

详细介绍

1.修复的CVE ·CVE-2023-27533 描述:curl<8.0中存在输入验证漏洞,在使用TELNET协议进行通信的过程中,攻击者可以在服务器协商过程中传递恶意编制的用户名和“TELNET选项”。由于缺乏正确的输入清理,攻击者可以在没有应用程序意图的情况下发送内容或执行选项协商。如果应用程序允许用户输入,则可能会利用此漏洞,从而使攻击者能够在系统上执行任意代码。 ·CVE-2023-27534 描述:curl<8.0.0 SFTP实现中存在路径遍历漏洞,导致波浪号(~)字符在用作第一个路径元素中的前缀时被错误地替换,此外它还被用作指示相对于用户主目录的路径的第一个元素。攻击者可以利用此漏洞绕过过滤,或者在使用特定用户访问服务器时通过创建/~2/foo之类的路径来执行任意代码。 ·CVE-2023-27535 描述:libcurl将以前使用的连接保存在连接池中,以便在其中一个连接与设置匹配时重用后续传输。然而,配置匹配检查中遗漏了几个FTP设置,使得它们太容易匹配。 ·CVE-2023-27536 描述:在Curl包中发现一个缺陷。Libcurl将以前使用的连接保存在连接池中,以便在其中一个连接与设置匹配时重用后续传输。然而,GSS委派设置被排除在配置匹配检查之外,这使得它们太容易匹配,影响了krb5/kerberos/协商/GSAPI传输。 ·CVE-2023-27538 描述:libcurl v8.0.0中存在身份验证绕过漏洞,尽管修改了SSH选项,但它会重用以前建立的SSH连接,这本应阻止重用。libcurl维护一个以前使用的连接池,以便在配置匹配的情况下重用它们进行后续传输。然而,在配置检查中省略了两个SSH设置,使它们能够很容易地匹配,这可能会导致重用不适当的连接。 2.受影响的软件包 ·银河麒麟高级服务器操作系统 V10 SP1 ·loongarch64架构: curl、curl-help、libcurl、libcurl-devel 3.软件包修复版本 ·银河麒麟高级服务器操作系统 V10 SP1 (loongarch64) curl-7.71.1-24.a.ky10或以上版本 curl-help-7.71.1-24.a.ky10或以上版本 libcurl-7.71.1-24.a.ky10或以上版本 libcurl-devel-7.71.1-24.a.ky10或以上版本 4.修复方法 方法一:配置源进行升级安装 1.打开软件包源配置文件,根据仓库地址进行修改。 仓库源地址: 银河麒麟高级服务器操作系统 V10 SP1 loongarch64:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/ 2.配置完成后执行更新命令进行升级,命令如下: yum update Packagename 方法二:下载安装包进行升级安装 通过软件包地址下载软件包,使用软件包升级命令根据受影响的软件包 列表进行升级安装, 命令如下: yum install Packagename 3.升级完成后是否需要重启服务或操作系统: CVE-2023-27533:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2023-27534:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2023-27535:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2023-27536:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2023-27538:无需重启操作系统与服务即可使漏洞修复生效。 5.软件包下载地址 ·银河麒麟高级服务器操作系统 V10 SP1 curl(loongarch64)软件包下载地址: https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/curl-7.71.1-24.a.ky10.loongarch64.rpm https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/curl-help-7.71.1-24.a.ky10.noarch.rpm https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/libcurl-7.71.1-24.a.ky10.loongarch64.rpm https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/libcurl-devel-7.71.1-24.a.ky10.loongarch64.rpm 注:其他相关依赖包请到相同目录下载 6.修复验证 使用软件包查询命令,查看相关软件包版本是否与修复版本一致,如果版本一致,则说明修复成功。 sudo rpm -qa | grep Packagename
上一篇: KYSA-202209-0001 下一篇: KYSA-202304-1027

试用

服务

动态

联系