セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2798-1 curl

Debian セキュリティ勧告

DSA-2798-1 curl -- ssl 証明書のホスト名を確認していない

報告日時:

2013-11-17

影響を受けるパッケージ:

curl

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2013-4545.

詳細:

Scott Cantor さんが cURL、ファイル取得ツールの CURLOPT_SSL_VERIFYPEER が無効化に設定されている場合に CURLOPT_SSLVERIFYHOST のチェックを無効化していることを発見しました。 証明書信頼チェインの検証だけを無効化すべきところを ssl 証明書のホスト名確認についても無効化していました。

curl パッケージではデフォルトで CURLOPT_SSLVERIFYPEER が有効化されているため、デフォルト設定ではこの問題による影響はありません。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 7.21.0-2.1+squeeze5 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 7.26.0-1+wheezy5 で修正されています。

テスト版 (testing) ディストリビューション (jessie) 及び不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 7.33.0-1 で修正されています。

直ちに curl パッケージをアップグレードすることを勧めます。