検出

MiracleLinux 4curl-7.19.7-46.AXS4AXSA:2015-432:02

critical Nessus プラグイン ID 289436

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの MiracleLinux 4 ホストには、AXSA:2015-432:02 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 cURL は、サポートされているプロトコルのいずれかを使用して、HTTP、FTP、FILE、LDAP、LDAPS、DICT、TELNET、および TFTP サーバーからファイルを取得するためのツールです。
 cURL は、ユーザーの操作や、いかなる種類の操作なしでも動作するように設計されています。 cURL は、プロキシサポート、ユーザー認証、FTP アップロード、HTTP ポスト、ファイル転送の再開など、多くの便利な機能を提供しています。
 このリリースで修正されたセキュリティ問題
 CVE-2014-3613 CVE-2014-3707 CVE-2014-8150 CVE-2015-3143 CVE-2015-3148 修正されたバグ
 * libcurl で、SSL バージョン 3.0(SSLv3.0)へのプロトコル外のフォールバックが可能でした。攻撃者がこのフォールバックを悪用して、SSL のバージョンをダウングレードさせる可能性があります。このバグを修正するために、フォールバックは libcurl から削除されました。
 * FILE プロトコルによる一度のアップロードの転送で、リンク先ファイルが二度開かれていました。inotify カーネルのサブシステムがファイルをモニターしていると、不要な 2 つのイベントが生成されます。
 * SCP/SFTP 転送で libcurl を使用するユーティリティが、システムが FIPS モードで動作している場合に、予期せず停止することがあります。
 * curl ユーティリティで --retry オプションを使用すると、curl が予期せずセグメンテーション違反で停止することがあります。現在は、 --retry を追加しても curl がクラッシュしなくなりました。
 * curl --trace-time コマンドが、タイムスタンプを印刷する時に、正しいローカル時間を使用していませんでした。この更新で、 はこれを修正しました。
 * valgrind ユーティリティが、curl の終了時に動的に割り当てられたメモリリークを報告する可能性があります。この更新により、このバグは修正されました。
 * 以前は、プロキシサーバーが独自のヘッダーを HTTP 応答に追加すると、libcurl が正しくない CURLINFO_HEADER_SIZE フィールドの値を返しました。この問題は、この更新により修正されました。
 強化:
 * NSS によってネゴシエートされるべき TLS プロトコルのマイナーバージョンの指定で --tlsv1、 .0、 --tlsv1.1、および --tlsv1.2 オプションが利用可能です。。
 --tlsv1 オプションは、クライアントとサーバーの両方がサポートする TLS プロトコルの最大バージョンをネゴシエートするようになりました。
 * 現在は、ECC の有効または無効を明示的に切り替え、新しい AES 暗号化パッケージを TLS で使用することが可能です。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるcurl、libcurlおよび/またはlibcurl-develパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/5779

プラグインの詳細

深刻度: Critical

ID: 289436

ファイル名: miracle_linux_AXSA-2015-432.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/16

更新日: 2026/1/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

Vendor

Vendor Severity: Moderate

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2015-3148

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:miracle:linux:curl, p-cpe:/a:miracle:linux:libcurl-devel, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:libcurl

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/8/18

脆弱性公開日: 2014/9/11

参照情報

CVE: CVE-2014-3613, CVE-2014-3707, CVE-2014-8150, CVE-2015-3143, CVE-2015-3148

IAVB: 2016-B-0054-S