Debian セキュリティ勧告

DLA-84-1 curl -- LTS セキュリティ更新

報告日時:
2014-11-09
影響を受けるパッケージ:
curl
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-3707.
詳細:

Symeon Paraschoudis さんが、URL 転送ライブラリ cURL の curl_easy_duphandle() 関数にバグを発見しています。最終的には libcurl が HTTP の POST 操作を行う際、送信を意図していない機密データの送信につながる可能性があります。

このバグの再現にはは CURLOPT_COPYPOSTFIELDS と curl_easy_duphandle() をこの順で、さらに HTTP POST を実行するのに複製処理を行う、ということが要求されます。curl コマンドラインツールはこの順で動作するようにはなっていないため、 この問題による影響はありません。

Debian 6Squeezeでは、この問題は curl バージョン 7.21.0-2.1+squeeze10 で修正されています。