Säkerhetsbulletin från Debian
DSA-3069-1 curl -- säkerhetsuppdatering
- Rapporterat den:
- 2014-11-07
- Berörda paket:
- curl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2014-3707.
- Ytterligare information:
-
Symeon Paraschoudis upptäckte att funktionen curl_easy_duphandle() i URL-överföringsbiblioteket cURL har en bugg som kan leda till att libcurl eventuellt skickar iväg känslig data som inte var menad att skickas, under utförandet av en HTTP POST-operation.
Detta fel kräver att CURLOPT_COPYPOSTFIELDS och curl_easy_duphandle() används i den ordningen och sedan att den duplicerade hanteraren måste användas för att utföra denna HTTP POST-handling. Kommandoradsverktyget curl påverkas inte av detta problem, eftersom det inte använder denna sekvens.
För den stabila utgåvan (Wheezy) har detta problem rättats i version 7.26.0-1+wheezy11.
För den kommande stabila utgåvan (Jessie), kommer detta problem att rättats i version 7.38.0-3.
För den instabila utgåvan (Sid) har detta problem rättats i version 7.38.0-3.
Vi rekommenderar att ni uppgraderar era curl-paket.