Säkerhetsbulletin från Debian
DSA-2824-1 curl -- icke kontrollerat tls/ssl-värdnamn i certifikat
- Rapporterat den:
- 2013-12-19
- Berörda paket:
- curl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2013-6422.
- Ytterligare information:
-
Marc Deslauriers upptäckte att curl, ett filhämtningsverktyg, felaktigt kunde hoppa över att verifiera namnfälten CN och SAN när digital signturverifikation var inaktiverad i libcurls GnuTLS-bakände.
Standardkonfigurationen för curlpaketet påverkas inte av detta problem eftersom den digitala signaturverifikationen är aktiverad som standard.
Den gamla stabila utgåvan (Squeeze) påverkas inte av detta problem.
För den stabila utgåvan (Wheezy) har detta problem rättats i version 7.26.0-1+wheezy7.
För den instabila utgåvan (Sid) har detta problem rättats i version 7.34.0-1.
Vi rekommenderar att ni uppgraderar era curl-paket.