BLSA-2017:0035 – [中等] curl 安全警告及修复方法



  • BLSA-2017:0035 – [中等] curl 安全警告及修复方法

    问题描述

    最近发现对 curl 之前暴露出的CVE-2015-3148漏洞修复不完整,使用libcurl和HTTP协商身份验证机制的应用程序,可能会错误地再次使用对相同服务器后续请求的凭据。建议所有用户都安装BCLinux提供的的升级包,升级包包含了修复这些漏洞的补丁文件。

    curl简介
    curl是利用URL语法在命令行方式下工作的开源文件传输工具。它被广泛应用在Unix、多种Linux发行版中,并且有DOS和Win32、Win64下的移植版本。

    影响版本

    • BigCloud Enterprise Linux 6
    • Red Hat Enterprise Linux 6
    • CentOS Linux 6

    详细介绍

    • CVE-2017-2628 [中等]
      最近发现之前对CVE-2015-3148的修复不完整,使用libcurl和HTTP协商身份验证机制的应用程序,可能会错误地再次使用对相同服务器后续请求的凭据。

    解决方案

    目前,BCLinux的官方源已经提供 curl 的更新软件包,受影响的 BCLinux 6 客户端用户需要升级到 7.19.7-53.el6 版本。

    1.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@BCLinux ~]#  ls -l /etc/yum.repos.d/
    total 12
    -rw-r--r--. 1 root root  969 Nov 16  2015 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1053 Nov 16  2015 BCLinux-Source.repo
    -rw-r--r--. 1 root root 1184 Nov 16  2015 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum update curl
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Setting up Update Process
    Resolving Dependencies
    --> Running transaction check
    ---> Package curl.x86_64 0:7.19.7-37.el6_4 will be updated
    ---> Package curl.x86_64 0:7.19.7-53.el6 will be an update
    --> Processing Dependency: libcurl = 7.19.7-53.el6 for package: curl-7.19.7-53.el6.x86_64
    --> Running transaction check
    ---> Package libcurl.x86_64 0:7.19.7-37.el6_4 will be updated
    ---> Package libcurl.x86_64 0:7.19.7-53.el6 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===============================================================================================================================================
     Package                         Arch                           Version                                  Repository                       Size
    ===============================================================================================================================================
    Updating:
     curl                            x86_64                         7.19.7-53.el6                            updates                         196 k
    Updating for dependencies:
     libcurl                         x86_64                         7.19.7-53.el6                            updates                         168 k
    
    Transaction Summary
    ===============================================================================================================================================
    Upgrade       2 Package(s)
    
    Total download size: 365 k
    Is this ok [y/N]: y
    

    3.复查

    [root@BCLinux ~]# rpm -q curl
    curl-7.19.7-53.el6.x86_64
    

    4.重启应用

    安装升级包以后,重启应用,更新生效。

    外部链接

    1.BCLinux安全更新