Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2798-1 curl

Debians sikkerhedsbulletin

DSA-2798-1 curl -- ukontrolleret værtsnavn i SSL-certifikat

Rapporteret den:

17. nov 2013

Berørte pakker:

curl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-4545.

Yderligere oplysninger:

Scott Cantor opdagede at curl, et filhentningsværktøj, deaktiverede kontrollen CURLOPT_SSLVERIFYHOST når indstillingen CURLOPT_SSL_VERIFYPEER var slået fra. Dermed blev også kontroller af værtsnavne i SSL-certifikater deaktiveret, hvor kun verifikationen at certifikatets trust-kæde, skulle have været slået fra.

Standardopsætningen af curl-pakken er ikke påvirket af problemet, da CURLOPT_SSLVERIFYPEER som standard er aktiveret.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 7.21.0-2.1+squeeze5.

I den stabile distribution (wheezy), er dette problem rettet i version 7.26.0-1+wheezy5.

I distributionen testing (jessie) og i den ustabile distribution (sid), er dette problem rettet i version 7.33.0-1.

Vi anbefaler at du opgraderer dine curl-pakker.