Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-3069-1 curl

Säkerhetsbulletin från Debian

DSA-3069-1 curl -- säkerhetsuppdatering

Rapporterat den:

2014-11-07

Berörda paket:

curl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-3707.

Ytterligare information:

Symeon Paraschoudis upptäckte att funktionen curl_easy_duphandle() i URL-överföringsbiblioteket cURL har en bugg som kan leda till att libcurl eventuellt skickar iväg känslig data som inte var menad att skickas, under utförandet av en HTTP POST-operation.

Detta fel kräver att CURLOPT_COPYPOSTFIELDS och curl_easy_duphandle() används i den ordningen och sedan att den duplicerade hanteraren måste användas för att utföra denna HTTP POST-handling. Kommandoradsverktyget curl påverkas inte av detta problem, eftersom det inte använder denna sekvens.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 7.26.0-1+wheezy11.

För den kommande stabila utgåvan (Jessie), kommer detta problem att rättats i version 7.38.0-3.

För den instabila utgåvan (Sid) har detta problem rättats i version 7.38.0-3.

Vi rekommenderar att ni uppgraderar era curl-paket.