セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2660-1 curl

Debian セキュリティ勧告

DSA-2660-1 curl -- 機密情報の暴露

報告日時:

2013-04-20

影響を受けるパッケージ:

curl

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 705274.
Mitre の CVE 辞書: CVE-2013-1944.

詳細:

Yamada Yasuharu さんが、URL 転送ライブラリ cURL が後部が一致するドメインをまたいだリクエストを行う際に、 潜在的に機密情報の暴露に対して脆弱であることを発見しました。 ドメインネーム照合時の tailmatch 関数のバグのため、ドメイン ample.com 用にセットされたクッキーが example.com に対する通信時にも libcurl により誤って送られる可能性があります。

コマンドラインツールの curl、および libcurl ライブラリを利用したアプリケーションの両方が脆弱です。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 7.21.0-2.1+squeeze3 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 7.26.0-1+wheezy2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 7.29.0-2.1 で修正されています。

直ちに curl パッケージをアップグレードすることを勧めます。