Debians sikkerhedsbulletin
DSA-3638-1 curl -- sikkerhedsopdatering
- Rapporteret den:
- 3. aug 2016
- Berørte pakker:
- curl
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2016-5419, CVE-2016-5420, CVE-2016-5421.
- Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i cURL, et bibliotek til URL-overførsel:
- CVE-2016-5419
Bru Rom opdagede at libcurl forsøgte at genoptage en TLS-session, selv hvis klientcertifikatet var ændret.
- CVE-2016-5420
Man opdagede at libcurl ikke tag klientcertifikater i betragtning ved genanvendelse af TLS-forbindelser.
- CVE-2016-5421
Marcelo Echeverria og Fernando Muñoz opdagede at libcurl var sårbar over for en fejl i forbindelse med anvendelse efter frigivelse.
I den stabile distribution (jessie), er disse problemer rettet i version 7.38.0-4+deb8u4.
I den ustabile distribution (sid), er disse problemer rettet i version 7.50.1-1.
Vi anbefaler at du opgraderer dine curl-pakker.
- CVE-2016-5419