OracleVM 3.3：curl （OVMSA-2015-0107）

medium Nessus プラグイン ID 85148

Language:

概要

リモート OracleVM ホストに 1 つ以上のセキュリティ更新が欠落しています。

説明

リモートの OracleVM システムに、重要なセキュリティ更新に対処するために必要なパッチがありません。

- NTLM の再利用に一致する認証情報が必須です（CVE-2015-3143）

- 終了時にネゴシエート接続を切断します（CVE-2015-3148）

- プロキシに渡された URL で CRLF を拒否します（CVE-2014-8150）

- クッキーで IP アドレスとして使用されるホストには、完全一致のみを使用します（CVE-2014-3613）

- curl_easy_duphandle で CURLOPT_COPYPOSTFIELDS の処理を修正します（CVE-2014-3707）

- aspell を使用して見つかった man ページの誤字を修正します（#1011101）

- NSS 付き CA 証明書の man ページでのローディングに関するコメントを修正します（#1011083）

- 転送進行中の DNS キャッシュのタイムアウトの処理を修正します（#835898）

- ファイルのプロトコルによるアップロードでの不要な inotify イベントを排除します（#883002）

- サンプルでの正しいソケットタイプの使用（#997185）

- MD5 の指紋が libssh2 によって提供されない場合、クラッシュしません（#1008178）

- curl の SIGSEGV を修正します --ネットワークが停止している場合は再試行します（#1009455）

- TLS 1.1 と TLS 1.2 の使用を許可します（#1012136）

- docs：NSS によってサポートされている cipher-suites へのリンクを更新します（#1104160）

- NSS が実装している場合、ECC 暗号化の使用を許可します（#1058767）

- curl を作成 --trace-time が正しい時間を印刷します（#1120196）

- NSPR が使用されている場合、終了時にツールに PR_Cleanup を呼び出させます（#1146528）

- NTLM HTTP 認証中は、CURLOPT_FORBID_REUSE を無視します（#1154747）

- 新しい AES cipher-suites の有効化/無効化を許可します（#1156422）

- プロキシによって追加された応答ヘッダーを CURLINFO_HEADER_SIZE に含めます（#1161163）

- SSLv3 への libcurl-level のダウングレードを無効にします（#1154059）

- HEAD リクエストが失敗した後、接続終了を強制しません（#1168137）

- SSL ハンドシェイク中の偶発的な SIGSEGV を修正します（#1168668）

- FTPS ハンドルが再使用された場合の接続失敗を修正します（#1154663）

- 不適切な HTTP NTLM 接続の再利用を修正します（CVE-2014-0015）

- 別のログイン認証情報を使用する場合での接続の再利用を修正します（CVE-2014-0138）

- サーバーが複数の認証オプションを提供している場合の認証失敗を修正します（#799557）

- 上流テストパッケージからの test172 で有効期限切れのクッキーをリフレッシュします（#1069271）

- クローズ後の書き込みが引き起こしていたメモリ漏洩を修正します（#1078562）

- nss：ノンブロッキング SSL ハンドシェイクを実装します（#1083742）