FERRAMENTAS LINUX: Atualização importante de segurança do openSUSE para o apache-commons-httpclient, aviso openSUSE: 2020: 1873-1

domingo, 8 de novembro de 2020

Atualização importante de segurança do openSUSE para o apache-commons-httpclient, aviso openSUSE: 2020: 1873-1

 

Confira !


Uma atualização que corrige duas vulnerabilidades já está disponível.

   Atualização de segurança do openSUSE: atualização de segurança para apache-commons-httpclient

______________________________________________________________________________


ID do anúncio: openSUSE-SU-2020: 1873-1

Avaliação: importante

Referências: # 1178171 # 945190 

Referências cruzadas: CVE-2014-3577 CVE-2015-5262

Produtos afetados:

                    openSUSE Leap 15.1

______________________________________________________________________________


   Uma atualização que corrige duas vulnerabilidades já está disponível.


Descrição:


   Esta atualização para apache-commons-httpclient corrige os seguintes problemas:


   - http / conn / ssl / SSLConnectionSocketFactory.java ignora o

     definição de configuração http.socket.timeout durante um handshake SSL, que

     permite que atacantes remotos causem uma negação de serviço (chamada HTTPS travada)

     por meio de vetores não especificados. [bsc # 945190, CVE-2015-5262]

   - org.apache.http.conn.ssl.AbstractVerifier não verifica corretamente se

     o nome do host do servidor corresponde a um nome de domínio no nome comum do assunto

     (CN) ou campo subjectAltName do certificado X.509, que permite MITM

     invasores para falsificar servidores SSL por meio de uma string "CN =" em um campo no

     nome distinto (DN)

     de um certificado. [bsc # 1178171, CVE-2014-3577]


   Esta atualização foi importada do SUSE: SLE-15: Projeto de atualização de atualização.



Instruções do patch:


   Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE

   como YaST online_update ou "patch zypper".


   Como alternativa, você pode executar o comando listado para o seu produto:


   - openSUSE Leap 15.1:


      zypper em patch -t openSUSE-2020-1873 = 1




Lista de Pacotes:


   - openSUSE Leap 15.1 (noarch):


      apache-commons-httpclient-3.1-lp151.4.3.1

      apache-commons-httpclient-demo-3.1-lp151.4.3.1

      apache-commons-httpclient-javadoc-3.1-lp151.4.3.1

      apache-commons-httpclient-manual-3.1-lp151.4.3.1



Referências:


   https://www.suse.com/security/cve/CVE-2014-3577.html

   https://www.suse.com/security/cve/CVE-2015-5262.html

   https://bugzilla.suse.com/1178171

   https://bugzilla.suse.com/945190


Fonte

Até a próxima !!


Nenhum comentário:

Postar um comentário