Информация по безопасности / 2013 / Информация о безопасности -- DSA-2660-1 curl

Рекомендация Debian по безопасности

DSA-2660-1 curl -- разоблачение чувствительной информации

Дата сообщения:

20.04.2013

Затронутые пакеты:

curl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 705274.
В каталоге Mitre CVE: CVE-2013-1944.

Более подробная информация:

Ямада Ёсухару обнаружил, что cURL, библиотека передачи URL, уязвима к разоблачению потенциально чувствительной информации при осуществлении запросов по доменам с совпадающими окончаниями. Из-за ошибки в функции tailmatch при сопоставлении имён доменов возможно, что набор куки для домена ample.com будет случайно отправлен libcurl при соединении с example.com.

Уязвимы и инструмент командной строки curl и приложения, использующие библиотеку libcurl.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 7.21.0-2.1+squeeze3.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 7.26.0-1+wheezy2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 7.29.0-2.1.

Рекомендуется обновить пакеты curl.