Информация по безопасности / 2013 / Информация о безопасности -- DSA-2798-1 curl

Рекомендация Debian по безопасности

DSA-2798-1 curl -- отсутствие проверки имени узла в сертификате ssl

Дата сообщения:

17.11.2013

Затронутые пакеты:

curl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-4545.

Более подробная информация:

Скотт Кантор обнаружил, что curl, инструмент для загрузки файлов, отключает проверку CURLOPT_SSLVERIFYHOST при выключенном параметре CURLOPT_SSL_VERIFYPEER. Это также приводит к отключению проверки имени узла в сертификате ssl, хотя должна быть отключена только проверка цепочки доверия данного сертификата.

Пакет curl с настройками по умолчанию не подвержен этой проблеме, поскольку параметр CURLOPT_SSLVERIFYPEER по умолчанию включён.

В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в версии 7.21.0-2.1+squeeze5.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 7.26.0-1+wheezy5.

В тестируемом (jessie) и нестабильном (sid) выпусках эта проблема была исправлена в версии 7.33.0-1.

Мы рекомендуем обновить пакеты curl.