Säkerhetsbulletin från Debian

DSA-3232-1 curl -- säkerhetsuppdatering

Rapporterat den:
2015-04-22
Berörda paket:
curl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-3143, CVE-2015-3144, CVE-2015-3145, CVE-2015-3148.
Ytterligare information:

Flera sårbarheter har upptäckts i cURL, ett URL-överföringsbibliotek:

  • CVE-2015-3143

    NTLM-autentiserade anslutningar kunde felaktigt återanvändas för förfrågningar utan några referenser satta, vilket leder till att HTTP-förfrågningar skickas över anslutningen autentiserade som en annan användare. Detta liknar problemet som rättades i DSA-2849-1.

  • CVE-2015-3144

    Vid tolkning av URLer med hostnamn med noll längd (så som "http://:80"), kom libcurl att försöka läsa från en ogiltig minnesadress. Detta kunde tillåta fjärrangripare att orsaka en överbelastning (krasch). Detta problem påverkar endast den kommande stabila utgåvan (Jessie) och den instabila utgåvan (Sid).

  • CVE-2015-3145

    Vid tolkning av HTTP-kakor, om den tolkade kakans path-element består av ett enda dubbelt citattecken, kommer libcurl att försöka skriva till en ogiltig heapminnesadress. Detta kunde tillåta fjärrangripare att orsaka en överbelastning (krasch). Detta problem påverkar endast den kommande stabila utgåvan (Jessie) och den instabila utgåvan (Sid).

  • CVE-2015-3148

    När man gör HTTP-förfrågningar med hjälp av autentiseringsmetoden Negotiate tillsammans med NTLM, markerades inte anslutningen som autentiserad, vilket gör det omöjligt att återanvända den och skicka förfrågningar för en användare över en anslutning som autentiserats för en annan användare.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 7.26.0-1+wheezy13.

För den kommande stabila utgåvan (Jessie) har dessa problem rättats i version 7.38.0-4+deb8u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 7.42.0-1.

Vi rekommenderar att ni uppgraderar era curl-paket.