Рекомендация Debian по безопасности

DLA-84-1 curl -- обновление безопасности LTS

Дата сообщения:
09.11.2014
Затронутые пакеты:
curl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-3707.
Более подробная информация:

Симеон Парашудис обнаружил, что функция curl_easy_duphandle() в cURL, библиотеке передачи URL, содержит ошибку, которая может приводить к тому, что libcurl случайно отправляет чувствительные данные, не предназначенные для отправки, в ходе выполнения HTTP-операции POST.

Данная ошибка требует, чтобы использовались по порядку CURLOPT_COPYPOSTFIELDS и curl_easy_duphandle(), а затем должен использоваться код обработки дубликатов для выполнения HTTP POST. Команда curl не подвержена этой проблеме, поскольку она не использует указанную последовательность.

В Debian 6 Squeeze эти проблемы были исправлены в пакете curl версии 7.21.0-2.1+squeeze10