Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2824-1 curl

Debians sikkerhedsbulletin

DSA-2824-1 curl -- ukontrolleret værtsnavn i tls-/ssl-certifikat

Rapporteret den:

19. dec 2013

Berørte pakker:

curl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-6422.

Yderligere oplysninger:

Marc Deslauriers opdagede at curl, et filhentningsværktøj, sprang ved en fejl kontrol af CN- og SAN-navnefelterne over, når kontrol af digital signatur var deaktiveret i libcurl's GnuTLS-backend.

Standardopsætningen af curl-pakken er ikke påvirket af problemet, da kontrol af digital signatur som standard er aktiveret.

Den gamle stabile distribution (squeeze) er ikke påvirket af dette problem.

I den stabile distribution (wheezy), er dette problem rettet i version 7.26.0-1+wheezy7.

I den ustabile distribution (sid), er dette problem rettet i version 7.34.0-1.

Vi anbefaler at du opgraderer dine curl-pakker.