Рекомендация Debian по безопасности

DSA-2849-1 curl -- раскрытие информации

Дата сообщения:
31.01.2014
Затронутые пакеты:
curl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-0015.
Более подробная информация:

Парас Сетиа обнаружил, что libcurl, клиентская библиотека для передачи URL, иногда смешивает множественные HTTP и HTTPS соединения к одному и тому же серверу с NTLM-авторизацией, отправляя запросы одного пользователя по соединению с авторизацией от другого пользователя.

В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в версии 7.21.0-2.1+squeeze7.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 7.26.0-1+wheezy8.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 7.35.0-1.

Рекомендуется обновить пакеты curl.