Уязвимость CVE-2023-27538: Информация

Описание

An authentication bypass vulnerability exists in libcurl prior to v8.0.0 where it reuses a previously established SSH connection despite the fact that an SSH option was modified, which should have prevented reuse. libcurl maintains a pool of previously used connections to reuse them for subsequent transfers if the configurations match. However, two SSH settings were omitted from the configuration check, allowing them to match easily, potentially leading to the reuse of an inappropriate connection.

Важность: MEDIUM (5,5) Вектор: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

URL: https://nvd.nist.gov/vuln/detail/CVE-2023-27538

Опубликовано: 30 марта 2023 г.

Изменено: 27 марта 2024 г.

Идентификатор типа ошибки: CWE-287

Исправленные пакеты

Имя пакета	Ветка	Исправлено в версии	Версия в репозитории	Errata ID	№ Задания	Состояние
curl	sisyphus	8.0.0-alt1	8.7.1-alt2	ALT-PU-2023-1475-1	317011	Исправлено
curl	sisyphus_e2k	8.0.0-alt1	8.7.1-alt2	ALT-PU-2023-2920-1	-	Исправлено
curl	sisyphus_mipsel	8.0.1-alt1	8.5.0-alt1	ALT-PU-2023-2899-1	-	Исправлено
curl	sisyphus_riscv64	8.0.1-alt1	8.7.1-alt2	ALT-PU-2023-2904-1	-	Исправлено
curl	p10	8.0.1-alt1	8.7.1-alt1	ALT-PU-2023-1501-1	317014	Исправлено
curl	p10_e2k	8.0.1-alt1	8.7.1-alt1	ALT-PU-2023-2950-1	-	Исправлено
curl	c10f1	8.0.1-alt1	8.6.0-alt1	ALT-PU-2023-1501-1	317014	Исправлено
curl	c9f2	8.3.0-alt1	8.6.0-alt1	ALT-PU-2023-5727-4	329877	Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка	Ресурс
https://hackerone.com/reports/1898475	Exploit Third Party Advisory
https://security.netapp.com/advisory/ntap-20230420-0010/	Third Party Advisory
[debian-lts-announce] 20230421 [SECURITY] [DLA 3398-1] curl security update	Mailing List
GLSA-202310-12	Third Party Advisory

Подверженные конфигурации:
1. Конфигурация 1
  cpe:2.3:a:haxx:libcurl:*:*:*:*:*:*:*:*
  Start including
  7.16.1
  End excliding
  8.0.0
  
  Конфигурация 2
  cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:*
  
  Конфигурация 3
  cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
  
  Конфигурация 4
  cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vmware_vsphere:*:*
  cpe:2.3:o:broadcom:brocade_fabric_operating_system_firmware:-:*:*:*:*:*:*:*
  cpe:2.3:a:netapp:clustered_data_ontap:9.0:-:*:*:*:*:*:*
  
  Конфигурация 5
  cpe:2.3:o:netapp:h300s_firmware:-:*:*:*:*:*:*:*
  Running on/with:
  cpe:2.3:h:netapp:h300s:-:*:*:*:*:*:*:*
  
  Конфигурация 6
  cpe:2.3:o:netapp:h500s_firmware:-:*:*:*:*:*:*:*
  Running on/with:
  cpe:2.3:h:netapp:h500s:-:*:*:*:*:*:*:*
  
  Конфигурация 7
  cpe:2.3:o:netapp:h700s_firmware:-:*:*:*:*:*:*:*
  Running on/with:
  cpe:2.3:h:netapp:h700s:-:*:*:*:*:*:*:*
  
  Конфигурация 8
  cpe:2.3:o:netapp:h410s_firmware:-:*:*:*:*:*:*:*
  Running on/with:
  cpe:2.3:h:netapp:h410s:-:*:*:*:*:*:*:*
  
  Конфигурация 9
  cpe:2.3:a:splunk:universal_forwarder:9.1.0:*:*:*:*:*:*:*
  cpe:2.3:a:splunk:universal_forwarder:*:*:*:*:*:*:*:*
  Start including
  9.0.0
  End excliding
  9.0.6
  cpe:2.3:a:splunk:universal_forwarder:*:*:*:*:*:*:*:*
  Start including
  8.2.0
  End excliding
  8.2.12

Версия: v24.4.2

Наверх

Уязвимость CVE-2023-27538: Информация

Описание

Исправленные пакеты

Ссылки на рекомендации, решения и инструменты

Конфигурация 1

Конфигурация 2

Конфигурация 3

Конфигурация 4

Конфигурация 5

Конфигурация 6

Конфигурация 7

Конфигурация 8

Конфигурация 9