Рекомендация Debian по безопасности

DLA-211-1 curl -- обновление безопасности LTS

Дата сообщения:
29.04.2015
Затронутые пакеты:
curl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-3143, CVE-2015-3148.
Более подробная информация:

В cURL, библиотеке передачи URL, было обнаружено несколько уязвимостей:

  • CVE-2015-3143

    Соединения, аутентифицированные с помощью NTLM, могут ошибочно повторно использоваться для запросов без каких-либо данных учётной записи, что приводит к тому, что HTTP-запросы отправляются по соединению, аутентифицированному от другого пользователя. Эта проблема схожа с проблемой, исправленной в DSA-2849-1.

  • CVE-2015-3148

    При выполнении HTTP-запросов, использующих метод аутентификации Negotiate наряду с NTLM, используемое соединение не отмечается как аутентифицированное, что позволяет его повторно использовать и отправлять запросы одного пользователя по соединению, аутентифицированному от другого пользователя.