Säkerhetsbulletin från Debian
DSA-3638-1 curl -- säkerhetsuppdatering
- Rapporterat den:
- 2016-08-03
- Berörda paket:
- curl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2016-5419, CVE-2016-5420, CVE-2016-5421.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i cURL, ett URL-överföringsbibliotek:
- CVE-2016-5419
Bru Rom upptäckte att libcurl kunde försöka att fortsätta en TLS-session även om klientcertifikatet hade ändrats.
- CVE-2016-5420
Man har upptäckt att libcurl inte försöker med klientcertifikat vid återanvändning av TLS-anslutningar.
- CVE-2016-5421
Marcelo Echeverria och Fernando Muñoz upptäckte att libcurl var sårbart för en användning efter frigörning.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 7.38.0-4+deb8u4.
För den instabila utgåvan (Sid) har dessa problem rättats i version 7.50.1-1.
Vi rekommenderar att ni uppgraderar era curl-paket.
- CVE-2016-5419