Säkerhetsbulletin från Debian
DSA-2660-1 curl -- exponering av känslig information
- Rapporterat den:
- 2013-04-20
- Berörda paket:
- curl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 705274.
I Mitres CVE-förteckning: CVE-2013-1944. - Ytterligare information:
-
Yamada Yasuharu upptäckte att cURL, ett URL-överföringsbibliotek, är särbårt för exponering av potentiellt känslig information vid förfrågningar över domäner med matchande ändelser. På grund av ett fel i funktionen tailmatch vid matchning av domännamn, så var det möjligt att kakor som sattes för en domän
ample.com
oavsiktligt kunde bli satta av libcurl vid kommunikation medexample.com
.Både kommandoradsverktyget curl och applikationer som använder sig av biblioteket libcurl är sårbara.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 7.21.0-2.1+squeeze3.
För uttestningsutgåvan (Wheezy) har detta problem rättats i version 7.26.0-1+wheezy2.
För den instabila utgåvan (Sid) har detta problem rättats i version 7.29.0-2.1.
Vi rekommenderar att ni uppgraderar era curl-paket.