Рекомендация Debian по безопасности

DLA-134-1 curl -- обновление безопасности LTS

Дата сообщения:
15.01.2015
Затронутые пакеты:
curl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-8150.
Более подробная информация:

Андрей Лабунец из Facebook обнаружил, что cURL, библиотека передачи URL, неправильно обрабатывает URL, содержащие символы конца строки. Злоумышленник, способный создать приложение, использующее libcurl для получения доступа к специально сформированному URL через HTTP-прокси, может использовать данную уязвимость для выполнения дополнительных ненамеренных запросов, либо вставлять дополнительные заголовки в запрос.

В Debian 6 Squeeze эти проблемы были исправлены в curl версии 7.21.0-2.1+squeeze11