Рекомендация Debian по безопасности

DSA-3232-1 curl -- обновление безопасности

Дата сообщения:
22.04.2015
Затронутые пакеты:
curl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-3143, CVE-2015-3144, CVE-2015-3145, CVE-2015-3148.
Более подробная информация:

В cURL, библиотеке передачи URL, были обнаружены несколько уязвимостей:

  • CVE-2015-3143

    NTLM-аутентифицированные соединения могут ошибочно заново использовать запросы без выбора каких-либо данных учётной записи, что приводит к тому, что запросы HTTP будут отправляться по соединению, аутентифицированному для другого пользователя. Эта уязвимость схожа с проблемой, исправленной в DSA-2849-1.

  • CVE-2015-3144

    При грамматическом разборе URL с именами узлов нулевой длинны (такими как "http://:80") libcurl пытается выполнять чтение из некорректного адреса памяти. Это может позволить удалённым злоумышленникам вызывать отказ в обслуживании (аварийная остановка). Эта проблема актуальна только для готовящегося стабильного (jessie) и нестабильного (sid) выпусков.

  • CVE-2015-3145

    При грамматическом разборе куки HTTP в случае если разобранный путь элемента куки состоит из одной двойной кавычки, libcurl пытается выполнить запись в некорректный адрес динамической памяти. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка). Эта проблема актуальна только для готовящегося стабильного (jessie) и нестабильного (sid) выпусков.

  • CVE-2015-3148

    При выполнении HTTP запросов с использованием метода аутентификации Negotiate вместе с NTLM, используемое соединение не отмечается как аутентифицированное, что позволяет заново использовать его и отправлять запросы одного пользователя по соединению, которое аутентифицированно для другого пользователя.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 7.26.0-1+wheezy13.

В готовящемся стабильном выпуске (jessie) эти проблемы были исправлены в версии 7.38.0-4+deb8u1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 7.42.0-1.

Рекомендуется обновить пакеты curl.