Все бюллетени/sisyphus/ALT-PU-2016-1225-1
ALT-PU-2016-1225-1

Обновление пакета curl в ветке sisyphus

Версия7.47.1-alt1
Задание#161251
Опубликовано2016-03-12
Макс. серьёзностьHIGH
Серьёзность:

Закрытые проблемы (3)

BDU:2016-01656
MEDIUM5.0

Уязвимость библиотеки cURL, позволяющая нарушителю пройти аутентификацию от имени другого пользователя

Опубликовано: 2016-07-19Изменено: 2021-03-23
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:P/A:N
Ссылки
CVE-2016-0755
HIGH7.3

The ConnectionExists function in lib/url.c in libcurl before 7.47.0 does not properly re-use NTLM-authenticated proxy connections, which might allow remote attackers to authenticate as other users via a request, a similar issue to CVE-2014-0015.

Опубликовано: 2016-01-29Изменено: 2025-04-12
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS 3.xВЫСОКАЯ 7.3
CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Ссылки
CVE-2016-3739
MEDIUM5.3

The (1) mbed_connect_step1 function in lib/vtls/mbedtls.c and (2) polarssl_connect_step1 function in lib/vtls/polarssl.c in cURL and libcurl before 7.49.0, when using SSLv3 or making a TLS connection to a URL that uses a numerical IP address, allow remote attackers to spoof servers via an arbitrary valid certificate.

Опубликовано: 2016-05-20Изменено: 2025-04-12
CVSS 2.0НИЗКАЯ 2.6
CVSS:2.0/AV:N/AC:H/Au:N/C:N/I:P/A:N
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N
Ссылки