Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redos логотип

ROS-20220524-21

Опубликовано: 24 мая 2022
Источник: redos

Описание

Множественные уязвимости libcURL

Наименование уязвимого пакета

libcurl

Пакет обновления

libcurl-0:7.81.0-3.el7.3.x86_64

Версия уязвимого пакета младше

7.81.0-3

Возможные меры по устранению уязвимости

Запретить использование в ОС пакета libcURL или Установить обновление для пакета(ов) libcURL

Версия ОС

7.3

Архитектура ОС

х86_64

Дата публикации бюллетеня

24.05.2022

CVE-2022-30115

Идентификатор БДУ ФСТЭК России:

BDU:2022-03187

Описание уязвимости:

Уязвимость утилиты командной строки cURL связана с ошибкой в реализации HSTS, которая может позволить curl продолжать использовать протокол HTTP вместо HTTPS, если имя хоста в указанном URL-адресе использовало конечную точку, но не использовало ее при построении кэша HSTS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить перехват трафика и получить потенциально конфиденциальную информацию

4.3 Medium

CVSS3

3.3 Low

CVSS2

CVE-2022-27782

Идентификатор БДУ ФСТЭК России:

BDU:2022-03185

Описание уязвимости:

Уязвимость утилиты командной строки cURL связана с тем как libcurl обрабатывает ранее использованные соединения в пуле соединений для последующих передач. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправлять строку аутентификации с одного ресурса на другой, раскрывая учетные данные третьей стороне

5.3 Medium

CVSS3

5 Medium

CVSS2

CVE-2022-27781

Идентификатор БДУ ФСТЭК России:

BDU:2022-03180

Описание уязвимости:

Уязвимость утилиты командной строки cURL связана с бесконечным циклом при обработке запросов с параметром CURLOPT_CERTINFO. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, потреблять все доступные системные ресурсы и вызывать условия отказа в обслуживании

5.3 Medium

CVSS3

5 Medium

CVSS2

CVE-2022-27780

Идентификатор БДУ ФСТЭК России:

BDU:2022-03184

Описание уязвимости:

Уязвимость утилиты командной строки cURL связана с тем, что синтаксический анализатор URL-адресов curl неправильно принимает разделители URL-адресов с процентным кодированием, такие как «/», при декодировании части имени хоста в URL-адресе, превращая его в другой URL-адрес, использующий неправильное имя хоста, когда он позже извлекается. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти различные внутренние фильтры и проверки и заставить curl подключиться к неправильному веб-приложению

5.3 Medium

CVSS3

5 Medium

CVSS2

CVE-2022-27779

Идентификатор БДУ ФСТЭК России:

BDU:2022-03178

Описание уязвимости:

Уязвимость утилиты командной строки cURL связана с тем, что libcurl ошибочно разрешает устанавливать файлы cookie HTTP для доменов верхнего уровня (TLD), если имя хоста снабжено завершающей точкой. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создавать файлы cookie, которые впоследствии отправляются на другой и не связанный с ним сайт или домен

4.3 Medium

CVSS3

5 Medium

CVSS2