セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2398-2 curl

Debian セキュリティ勧告

DSA-2398-2 curl -- 複数の脆弱性

報告日時:

2012-03-31

影響を受けるパッケージ:

curl

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 658276.
Mitre の CVE 辞書: CVE-2011-3389, CVE-2012-0036.

詳細:

URL 転送ライブラリ Curl に、複数の問題が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。

• CVE-2011-3389

  この更新は、OpenSSL の BEAST 攻撃に対する回避策を有効にします。 詳しい情報は、 Curl のアドバイゾリ をご覧ください。

• CVE-2012-0036

  Dan Fandrich さんにより、Curl が URL のファイルパスを抽出する際の サニタイズが不十分であることが発見されました。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 7.18.2-8lenny6 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 7.21.0-2.1+squeeze2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 7.24.0-1 で修正されています。

直ぐに curl パッケージをアップグレードすることを勧めます。