摘要:
curl security update
安全等级: Medium
公告ID: KylinSec-SA-2024-4204
发布日期: 2024年11月15日
关联CVE: CVE-2024-9681
cURL 是一个计算机软件项目,提供了一个库(libcurl)和命令行工具(curl),用于使用各种协议传输数据。
安全修复:
当 curl 被要求使用 HSTS(HTTP Strict Transport Security)时,子域的到期时间可能会覆盖父域名的缓存条目,导致其比预期的更早或更晚结束。这影响到了使用 HSTS 并使用不安全的 `HTTP://` 方案的 URL 以及与 `x.example.com` 和 `example.com` 这样的主机进行传输的 curl 应用程序,其中第一个主机是第二个主机的子域。(HSTS 缓存需要手动填充,或者需要之前已经进行了 HTTPS 访问,因为缓存需要有涉及的域名的条目才能触发这个问题。)当 `x.example.com` 响应 `Strict-Transport-Security:` 头部时,这个漏洞可以使子域的到期超时 *渗透* 并为 curl 的 HSTS 缓存中的父域名 `example.com` 设置。触发漏洞的结果是,对 `example.com` 的 HTTP 访问被转换为 HTTPS,但持续时间与原始服务器请求的不同。如果 `example.com` 例如在其到期时间停止支持 HTTPS,curl 可能无法访问 `http://example.com`,直到(错误设置的)超时过期。这个漏洞也可以使父域名的条目 *更早* 过期,从而使 curl 不经意地比预期更早地切换回不安全的 HTTP。(CVE-2024-9681)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-9681 | KY3.5.2 | curl | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| curl-help | noarch | 7.79.1-33.ky3_5 |
| curl | x86_64 | 7.79.1-33.ky3_5 |
| libcurl | x86_64 | 7.79.1-33.ky3_5 |
| libcurl-devel | x86_64 | 7.79.1-33.ky3_5 |
| curl | aarch64 | 7.79.1-33.ky3_5 |
| libcurl | aarch64 | 7.79.1-33.ky3_5 |
| libcurl-devel | aarch64 | 7.79.1-33.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
