Debians sikkerhedsbulletin

DSA-2849-1 curl -- informationsafsløring

Rapporteret den:
31. jan 2014
Berørte pakker:
curl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-0015.
Yderligere oplysninger:

Paras Sethia opdagede at libcurl, et URL-overførselsbibliotek på klientsiden, sammenblandede nogle gange flere HTTP- og HTTPS-forbindelser med NTLM-autentifikation til den samme server, ved at sende forespørgsler vedrørende en bruger over forbindelsen autentificeret som en anden bruger.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 7.21.0-2.1+squeeze7.

I den stabile distribution (wheezy), er dette problem rettet i version 7.26.0-1+wheezy8.

I den ustabile distribution (sid), er dette problem rettet i version 7.35.0-1.

Vi anbefaler at du opgraderer dine curl-pakker.