Debians sikkerhedsbulletin

DSA-3232-1 curl -- sikkerhedsopdatering

Rapporteret den:
22. apr 2015
Berørte pakker:
curl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-3143, CVE-2015-3144, CVE-2015-3145, CVE-2015-3148.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i cURL, et bibliotek til URL-overførsler:

  • CVE-2015-3143

    NTLM-autentificerede forbindelser kunne fejlagtigt blive genbrugt til forespørgsler uden nogen loginoplysninger, førende til at HTTP-forespørgsler blev sendt over forbindelsen autentificeret af en anden bruger. Det svarer til problemet rettet i DSA-2849-1.

  • CVE-2015-3144

    Ved forfolkning af URL'er med værtsnavne med en længde på nul (så som http://:80), forsøgte libcurl at læse fra en ugyldig hukommelsesadresse. Dermed kunne det være muligt for fjernangribere at forårsage et lammelsesangreb (nedbrud). Problemet påvirker kun den kommende stabile distribution (jessie) og den ustabile distribution (sid).

  • CVE-2015-3145

    Ved fortolkning af HTTP-cookies, hvis den fortolkede cookies path-element består af et enkelt dobbelt anførselstegn, forsøgte libcurl at skrive til ugyldig heaphukommelsesadresse. Dermed kunne det være muligt for fjernangribere at forårsage et lammelsesangreb (nedbrud). Problemet påvirker kun den kommende stabile distribution (jessie) og den ustabile distribution (sid).

  • CVE-2015-3148

    Ved udførelse af HTTP-forespørgsler ved hjælp af autentifikationsmetoden Negotiate sammen med NTLM, blev den benyttede forbindelse ikke markeret som autentificeret, hvilket gjorde det muligt at genbruge den til at sende forespørgsler til en bruger over en forbindelse autentificeret som en anden bruger.

I den stabile distribution (wheezy), er disse problemer rettet i version 7.26.0-1+wheezy13.

I den kommende stabile distribution (jessie), er disse problemer rettet i version 7.38.0-4+deb8u1.

I den ustabile distribution (sid), er disse problemer rettet i version 7.42.0-1.

Vi anbefaler at du opgraderer dine curl-pakker.