Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2660-1 curl

Säkerhetsbulletin från Debian

DSA-2660-1 curl -- exponering av känslig information

Rapporterat den:

2013-04-20

Berörda paket:

curl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 705274.
I Mitres CVE-förteckning: CVE-2013-1944.

Ytterligare information:

Yamada Yasuharu upptäckte att cURL, ett URL-överföringsbibliotek, är särbårt för exponering av potentiellt känslig information vid förfrågningar över domäner med matchande ändelser. På grund av ett fel i funktionen tailmatch vid matchning av domännamn, så var det möjligt att kakor som sattes för en domän ample.com oavsiktligt kunde bli satta av libcurl vid kommunikation med example.com.

Både kommandoradsverktyget curl och applikationer som använder sig av biblioteket libcurl är sårbara.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 7.21.0-2.1+squeeze3.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 7.26.0-1+wheezy2.

För den instabila utgåvan (Sid) har detta problem rättats i version 7.29.0-2.1.

Vi rekommenderar att ni uppgraderar era curl-paket.