Säkerhetsbulletin från Debian

DSA-3240-1 curl -- säkerhetsuppdatering

Rapporterat den:
2015-04-29
Berörda paket:
curl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-3153.
Ytterligare information:

Man har upptäckt att cURL, ett URL-överföringsbibliotek, som standard kunde skicka samma HTTP-headers till proxyn som det skickar till destinationsservern om det är konfigurerat att använda en proxyserver med HTTPS-protokollet, vilket potentiellt läcker känslig information.

För den stabila utgåvan (Jessie) har detta problem rättats i version 7.38.0-4+deb8u2.

För uttestningsutgåvan (Stretch), kommer detta problem att rättas i version 7.42.1-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 7.42.1-1.

Vi rekommenderar att ni uppgraderar era curl-paket.