Рекомендация Debian по безопасности

DSA-2798-1 curl -- отсутствие проверки имени узла в сертификате ssl

Дата сообщения:
17.11.2013
Затронутые пакеты:
curl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-4545.
Более подробная информация:

Скотт Кантор обнаружил, что curl, инструмент для загрузки файлов, отключает проверку CURLOPT_SSLVERIFYHOST при выключенном параметре CURLOPT_SSL_VERIFYPEER. Это также приводит к отключению проверки имени узла в сертификате ssl, хотя должна быть отключена только проверка цепочки доверия данного сертификата.

Пакет curl с настройками по умолчанию не подвержен этой проблеме, поскольку параметр CURLOPT_SSLVERIFYPEER по умолчанию включён.

В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в версии 7.21.0-2.1+squeeze5.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 7.26.0-1+wheezy5.

В тестируемом (jessie) и нестабильном (sid) выпусках эта проблема была исправлена в версии 7.33.0-1.

Мы рекомендуем обновить пакеты curl.