Описание
Множественные уязвимости curl
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета curl или Установить обновление для пакета(ов) curl
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
07.04.2023
CVE-2023-27538
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость библиотеки libcurl связана с обходом аутентификации, в котором libcurl повторно использует ранее установленное соединение SSH, несмотря на то, что параметр SSH был изменен, что должно было предотвратить повторное использование. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, легко сопоставлять два параметра SSH, что может привести к повторному использованию неподходящего соединения.
5.9 Medium
CVSS3
5.4 Medium
CVSS2
CVE-2023-27535
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость библиотеки libcurl связана с повторным использованием FTP-соединения, ранее созданные соединения сохраняются в пуле соединений для повторного использования, если они соответствуют текущей настройке. Эксплуатация уязвимости может позволить нарушителю, использовать неправильные учетные данные при выполнении передачи, что потенциально может привести к несанкционированному доступу к конфиденциальной информации.
5.9 Medium
CVSS3
5.4 Medium
CVSS2