Debians sikkerhedsbulletin
DSA-3022-1 curl -- sikkerhedsopdatering
- Rapporteret den:
- 10. sep 2014
- Berørte pakker:
- curl
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2014-3613, CVE-2014-3620.
- Yderligere oplysninger:
-
To sårbarheder er opdaget i cURL, et URL-overførselsbibliotek. De kunne anvendes til at lække cookieoplysninger:
- CVE-2014-3613
Ved ikke på tilstrækkelig vis at genkende og afvise domænenavne til delvist literale IP-adresser, når der blev modtaget HTTP-cookies, kunne libcurl blive narret til både at sende cookies af den forkerte størrelse og til at tilllade at vilkårlige websteder opsætter cookies for andre.
- CVE-2014-3620
libcurl tillod fejlagtigt at cookies kunne blive opsat for Top Level Domains (TLD'er), hvilket dermed gjorde at det gjaldt bredere, end det er tilladt for cookies. Det kunne gøre det muligt for vilkårlige websteder, at opsætte cookies, som dermed ville blive sendt til et andet og ikke-relateret websted eller domæne.
I den stabile distribution (wheezy), er disse problemer rettet i version 7.26.0-1+wheezy10.
I distributionen testing (jessie), er disse problemer rettet i version 7.38.0-1.
I den ustabile distribution (sid), er disse problemer rettet i version 7.38.0-1.
Vi anbefaler at du opgraderer dine curl-pakker.
- CVE-2014-3613