检测
分析学
FreeBSD:curl-多重漏洞
高位奈苏斯插件码176134
语言 :
简表
远程FreeBSD主机缺一个或多个安全相关更新描述性
远程主机安装版FreeBSD受多重漏洞影响,见a4f8bb03-f52f-11ed-9859-080027083a05咨询脆弱度存在是因为检查SSH sha256指纹时有免用错误远程攻击者可用程序连接恶意SSH服务器,触发免用错误并访问潜在敏感信息(CVE-2023-28319)
脆弱性存在是因为使用提醒函数解决主机名时不适当同步远程攻击者可影响全局缓冲区内容强制应用崩溃(CVE-2023-28320)
脆弱度存在是因为匹配tLS证书通配符IDN名称时证书验证不当远程攻击者箱(CVE-2023-28321)
HTTPPST和PUT请求使用同道时逻辑错误而存在libcurl可错误地使用回调请求数据,即使CURLopt_POSTFIELDS选项设置后,如果前用同道发布PUT请求使用回调结果,应用可能行为失检或发送错误数据或自由或相似二次传输后使用内存(CVE-2023-28322)
注意Nessus没有测试这些问题,而是只依赖应用自报版号
求解
更新受影响包并见
https://curl.se/docs/CVE-2023-28319.html
https://curl.se/docs/CVE-2023-28320.html
https://curl.se/docs/CVE-2023-28321.html
插件细节
严重性 :高位
身份证 :176134
文件名 :freebsd_pkg_a4f8bb03f52f11ed9859080027083a05.nasl
版本化 :1.4
类型 :本地化
家庭问题 :FreeBSD局部安全检查
发布 :5/19/2023
更新 :7/2023
风险信息
VPR
风险因子 :中度
分数 :4.4
CVSS v2
风险因子 :高位
基础评分 :7.8
时间评分 :6.1
向量 :CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS评分源 :CVE2023-28319
CVSSv3
风险因子 :高位
基础评分 :7.5
时间评分 :6.7
向量 :CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
时间向量 :CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE系统 :p-cpe:/a:freebsd:freebsd:curl,cpe:/o:freebsd:freebsd
需要kb项 :Host/local_checks_enabled,Host/FreeBSD/release,Host/FreeBSD/pkg_info
开发可用性 :真实性
开发易斯 :exploits可用
补丁发布日期 :5/19/2023
漏洞发布日期 :5/18/2023
参考信息
CVE系统 :CVE2023-28319,CVE2023-28320,CVE2023-28321,CVE2023-28322
IAVA系统 :2023-A-0259-S