Информация по безопасности / 2013 / Информация о безопасности -- DSA-2824-1 curl

Рекомендация Debian по безопасности

DSA-2824-1 curl -- непроверенное имя узла сертификата tls/ssl

Дата сообщения:

19.12.2013

Затронутые пакеты:

curl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-6422.

Более подробная информация:

Марк Деслаурис обнаружил, что curl, инструмент получения файлов, может ошибочно пропускать проверку полей имён CN и SAN, если проверка цифровой подписи была отключена в движке GnuTLS libcurl.

По умолчанию настройка пакета curl не подвержена этой проблеме, поскольку проверка цифровой подписи включена по умолчанию.

Предыдущий стабильный выпуск (squeeze) не подвержен этой проблеме.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 7.26.0-1+wheezy7.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 7.34.0-1.

Мы рекомендуем вам обновить ваши пакеты curl.