Debians sikkerhedsbulletin
DSA-3069-1 curl -- sikkerhedsopdatering
- Rapporteret den:
- 7. nov 2014
- Berørte pakker:
- curl
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2014-3707.
- Yderligere oplysninger:
-
Symeon Paraschoudis opdagede at funktionen curl_easy_duphandle() i cURL, et bibliotek til URL-overførsler, indeholdt en fejl, som kunne føre til at libcurl endte med at afsende følsomme oplysninger, der ikke er beregnet til at sende, mens der blev udført en HTTP POST-handling.
Fejlen forudsætter at CURLOPT_COPYPOSTFIELDS og curl_easy_duphandle() anvendes i den rækkefølge, og dernæst at den duplikerede handle benyttes til at udføre HTTP POST. Kommandolinjeværktøjet curl er ikke påvirket af problemet, da det ikke anvende denne rækkefølge.
I den stabile distribution (wheezy), er dette problem rettet i version 7.26.0-1+wheezy11.
I den kommende stabile distribution (jessie), vil dette blive blive rettet i version 7.38.0-3.
I den ustabile distribution (sid), er dette problem rettet i version 7.38.0-3.
Vi anbefaler at du opgraderer dine curl-pakker.