Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-3022-1 curl

Säkerhetsbulletin från Debian

DSA-3022-1 curl -- säkerhetsuppdatering

Rapporterat den:

2014-09-10

Berörda paket:

curl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-3613, CVE-2014-3620.

Ytterligare information:

Två sårbarheter har upptäckts i cURL, ett URL-överföringsbibliotek. Dessa kan användas för att läcka kakinformation:

• CVE-2014-3613

  Genom att inte detektera och avvisa domännamn för patiella bokstavliga IP-adresser ordentligt vid tolkning av mottagna HTTP-kakor, kan libcurl luras att både skicka kakor till felaktiga sajter och till att tillåta godtyckliga sajter att sätta kakor för andra.

• CVE-2014-3620

  libcurl tillåter felaktigt kakor att sättas för topnivådomäner (TLDs) vilket gör att de tillåts att sättas bredare än kakor normalt tillåts. Detta kan tillåta godtyckliga sajter att sätta kakor som sedan skulle skickas till en annan och orelaterad sida eller domän.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 7.26.0-1+wheezy10.

För uttestningsutgåvan (Jessie) har dessa problem rättats i version 7.38.0-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 7.38.0-1.

Vi rekommenderar att ni uppgraderar era curl-paket.