Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2849-1 curl

Säkerhetsbulletin från Debian

DSA-2849-1 curl -- utlämnande av information

Rapporterat den:

2014-01-31

Berörda paket:

curl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-0015.

Ytterligare information:

Paras Sethia upptäckte att libcurl, ett URL-överföringsbibliotek för klientsidan, ibland kunde blanda ihop olika HTTP och HTTPS-anslutningar med NTLM-autentisering till samma server, och skicka förfrågningar för en användare över anslutningen medans den är autentiserad som en annan användare.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 7.21.0-2.1+squeeze7.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 7.26.0-1+wheezy8.

För den instabila utgåvan (Sid) har detta problem rättats i version 7.35.0-1.

Vi rekommenderar att ni uppgraderar era curl-paket.