セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-3022-1 curl

Debian セキュリティ勧告

DSA-3022-1 curl -- セキュリティ更新

報告日時:

2014-09-10

影響を受けるパッケージ:

curl

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2014-3613, CVE-2014-3620.

詳細:

脆弱性が2件、URL転送ライブラリ cURL に発見されました。 クッキー情報の漏洩に悪用することが可能です:

• CVE-2014-3613

  受け取った HTTP クッキーの解析時に部分的なIP アドレスのドメイン名を適切に検出、拒否しないために、libcurl に誤ったサイトにクッキーを送信させる、 あるいは任意のサイトに他のサイトのクッキーをセットさせることを許します。

• CVE-2014-3620

  libcurl は最上位ドメイン (TLD) のクッキーのセットを誤って許すため、 許可したよりも広い範囲にクッキーを適用します。 これにより任意のサイトにクッキーをセットさせ、 異なる無関係のサイトやドメインへの送信を許します。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 7.26.0-1+wheezy10 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 7.38.0-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 7.38.0-1 で修正されています。

直ちに curl パッケージをアップグレードすることを勧めます。