Рекомендация Debian по безопасности
DLA-64-1 curl -- обновление безопасности LTS
- Дата сообщения:
- 26.09.2014
- Затронутые пакеты:
- curl
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2014-3613.
- Более подробная информация:
-
Из-за отсутствия определения и отклонения доменных имён для частичных буквенных IP адресов при выполнении грамматического разбора получаемых HTTP-куки, libcurl можно заставить отправить куки неправильным сайтам, а также позволить произвольным сайтам устанавливать куки для других сайтов.
В Debian 6
Squeeze
эти проблемы были исправлены в пакете curl версии 7.21.0-2.1+squeeze9