Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2798-1 curl

Säkerhetsbulletin från Debian

DSA-2798-1 curl -- saknad kontroll av värdnamn på ssl-certifikat

Rapporterat den:

2013-11-17

Berörda paket:

curl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-4545.

Ytterligare information:

Scott Cantor upptäckte att curl, ett filhämtningsverktyg, inaktiverade kontrollen CURLOPT_SSLVERIFYHOST när inställningen CURLOPT_SSL_VERIFYPEER var inaktiverad. Detta inaktiverade även kontrollen av värdnamn i ssl-certifikat när det endast skulle inaktivera verifiering av certifikatets tillitskedja.

Standardkonfigurationen för curlpaketet påverkas inte av detta problem eftersom CURLOPT_SSLVERIFYPEER är aktiverad som standard.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 7.21.0-2.1+squeeze5.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 7.26.0-1+wheezy5.

För uttestningsutgåvan (Jessie) och den instabila utgåvan (Sid), har detta problem rättats i version 7.33.0-1.

Vi rekommenderar att ni uppgraderar era curl-paket.