Обновления безопасности
Назад к п.2
2.1472 Уязвимость в Curl (CVE-2020-8177)
1. Описание уязвимости:
Уязвимость позволяет перезаписать локальный файл в системе при обращении к подконтрольному атакующему серверу. Проблема проявляется только при одновременном использовании опций "-J" ("--remote-header-name") и "-i" ("--head"). Опция "-J" позволяет сохранить файл с именем, указанным в заголовке "Content-Disposition". В случае если файл с таким именем уже существует, программа curl в штатном режиме отказывается выполнить перезапись, но в случае наличия опции "-i" логика проверки нарушается и файл перезаписывается (проверка осуществляется на этапе получения тела ответа, но при опции "-i" вначале выводятся HTTP-заголовки и они успевают сохраниться до начала обработки тела ответа). В файл записываются только HTTP-заголовки, но сервер может отдать вместо заголовков произвольные данные и они будут записаны.Идентификатор Банка данных угроз безопасности информации ФСТЭК России: BDU:2020-032412. Возможные меры по устранению уязвимости
Необходимо запретить использование утилиты curl. или - установить обновления безопасности для пакета: curl-7.61.1Установка обновлений возможна следующими способами:а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:# yum updateПосле вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
- скачать обновленный пакет (и зависимости при необходимости):
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/curl-7.61.1-14.el7.x86_64.rpm
Проверить целостность и подлинность пакета по инструкцииУстановить скачанный пакет командой:# yum localinstall curl-7.61.1-14.el7.x86_64.rpmПосле вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
Дата последнего изменения: 08.09.2021
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.