Рекомендация Debian по безопасности
DSA-2798-1 curl -- отсутствие проверки имени узла в сертификате ssl
- Дата сообщения:
- 17.11.2013
- Затронутые пакеты:
- curl
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2013-4545.
- Более подробная информация:
-
Скотт Кантор обнаружил, что curl, инструмент для загрузки файлов, отключает проверку CURLOPT_SSLVERIFYHOST при выключенном параметре CURLOPT_SSL_VERIFYPEER. Это также приводит к отключению проверки имени узла в сертификате ssl, хотя должна быть отключена только проверка цепочки доверия данного сертификата.
Пакет curl с настройками по умолчанию не подвержен этой проблеме, поскольку параметр CURLOPT_SSLVERIFYPEER по умолчанию включён.
В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в версии 7.21.0-2.1+squeeze5.
В стабильном выпуске (wheezy) эта проблема была исправлена в версии 7.26.0-1+wheezy5.
В тестируемом (jessie) и нестабильном (sid) выпусках эта проблема была исправлена в версии 7.33.0-1.
Мы рекомендуем обновить пакеты curl.