Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-3069-1 curl

Debians sikkerhedsbulletin

DSA-3069-1 curl -- sikkerhedsopdatering

Rapporteret den:

7. nov 2014

Berørte pakker:

curl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-3707.

Yderligere oplysninger:

Symeon Paraschoudis opdagede at funktionen curl_easy_duphandle() i cURL, et bibliotek til URL-overførsler, indeholdt en fejl, som kunne føre til at libcurl endte med at afsende følsomme oplysninger, der ikke er beregnet til at sende, mens der blev udført en HTTP POST-handling.

Fejlen forudsætter at CURLOPT_COPYPOSTFIELDS og curl_easy_duphandle() anvendes i den rækkefølge, og dernæst at den duplikerede handle benyttes til at udføre HTTP POST. Kommandolinjeværktøjet curl er ikke påvirket af problemet, da det ikke anvende denne rækkefølge.

I den stabile distribution (wheezy), er dette problem rettet i version 7.26.0-1+wheezy11.

I den kommende stabile distribution (jessie), vil dette blive blive rettet i version 7.38.0-3.

I den ustabile distribution (sid), er dette problem rettet i version 7.38.0-3.

Vi anbefaler at du opgraderer dine curl-pakker.