Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2660-1 curl

Debians sikkerhedsbulletin

DSA-2660-1 curl -- blotlæggelse af følsomme oplysninger

Rapporteret den:

20. apr 2013

Berørte pakker:

curl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 705274.
I Mitres CVE-ordbog: CVE-2013-1944.

Yderligere oplysninger:

Yamada Yasuharu opdagede at cURL, et bibliotek til overførsel af URL'er, var sårbart over for blotlæggelse af potentielt følsomme oplysninger, når der blev udført forespørgsler på tværs af domæner med matchende tails. På grund af en fejl i tailmatch-funktionen når domænenavne blev matchet, var det muligt at cookies opsat for fx domænet ample.com, ved en fejl også kunne blive opsat af libcurl når der blev kommunikeret med example.com.

Både kommandolinjeværktøjet curl og applikationer der benytter biblioteket libcurl er sårbare.

I den stabile distribution (squeeze), er dette problem rettet i version 7.21.0-2.1+squeeze3.

I distributionen testing (wheezy), er dette problem rettet i version 7.26.0-1+wheezy2.

I den ustabile distribution (sid), er dette problem rettet i version 7.29.0-2.1.

Vi anbefaler at du opgraderer dine curl-pakker.