Debians sikkerhedsbulletin

DSA-3069-1 curl -- sikkerhedsopdatering

Rapporteret den:
7. nov 2014
Berørte pakker:
curl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-3707.
Yderligere oplysninger:

Symeon Paraschoudis opdagede at funktionen curl_easy_duphandle() i cURL, et bibliotek til URL-overførsler, indeholdt en fejl, som kunne føre til at libcurl endte med at afsende følsomme oplysninger, der ikke er beregnet til at sende, mens der blev udført en HTTP POST-handling.

Fejlen forudsætter at CURLOPT_COPYPOSTFIELDS og curl_easy_duphandle() anvendes i den rækkefølge, og dernæst at den duplikerede handle benyttes til at udføre HTTP POST. Kommandolinjeværktøjet curl er ikke påvirket af problemet, da det ikke anvende denne rækkefølge.

I den stabile distribution (wheezy), er dette problem rettet i version 7.26.0-1+wheezy11.

I den kommende stabile distribution (jessie), vil dette blive blive rettet i version 7.38.0-3.

I den ustabile distribution (sid), er dette problem rettet i version 7.38.0-3.

Vi anbefaler at du opgraderer dine curl-pakker.