Информация по безопасности / 2014 / Информация о безопасности -- DSA-3022-1 curl

Рекомендация Debian по безопасности

DSA-3022-1 curl -- обновление безопасности

Дата сообщения:

10.09.2014

Затронутые пакеты:

curl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-3613, CVE-2014-3620.

Более подробная информация:

В cURL, библиотеке для передачи URL, были обнаружены две уязвимости. Они могут использоваться для раскрытия информации из куки:

• CVE-2014-3613

  Не определяя правильно при грамматическом разборе куки HTTP и не отклоняя доменные имена, IP адрес которых содержит буквы, libcurl позволяет как отправку куки на сторонние сайты, так и установку произвольными сайтами куки для других сайтов.

• CVE-2014-3620

  libcurl неправильно разрешает установку куки для доменов верхнего уровня (TLD), разрешая применять их, таким образом, более широко, чем это разрешено. Эта проблема может приводить к тому, что произвольные сайту будут устанавливать куки, которые будут отправлены на другие, несвязанные сайты или домены.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 7.26.0-1+wheezy10.

В тестируемом выпуске (jessie) эти проблемы были исправлены в версии 7.38.0-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 7.38.0-1.

Рекомендуется обновить пакеты curl.