Debians sikkerhedsbulletin

DSA-3992-1 curl -- sikkerhedsopdatering

Rapporteret den:
6. okt 2017
Berørte pakker:
curl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 871554, Fejl 871555, Fejl 877671.
I Mitres CVE-ordbog: CVE-2017-1000100, CVE-2017-1000101, CVE-2017-1000254.
Yderligere oplysninger:

Flere sårbarheder er opdaget i cURL, et URL-overførselsbibliotek. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2017-1000100

    Even Rouault rapporterede at cURL ikke på korrekt vis håndterede lange filnavne under en TFTP-upload. En ondsindet HTTP(S)-server kunne drage nytte af fejlen til at viderestille en klient, ved hjælp af cURL-biblioteket, til en fabrikeret TFTP-URL, og narre den til at sende private hukommelsesindhold over UDP til en fjern server.

  • CVE-2017-1000101

    Brian Carpenter og Yongji Ouyang rapporterede at cURL indeholdt en fejl i globbing-funktionen, der fortolker det numeriske interval, førende til en læsning uden for grænserne, når en særligt fremstillet URL blev fortolket.

  • CVE-2017-1000254

    Max Dymond rapporterede at cURL indeholdt en fejl i forbindelse med læsning uden for grænserne i fortolkeren af FTP PWD-svar. En ondsindet server kunne drage nytte af fejlen til faktisk at forhindre cURL-biblioteket i at fungere med den, medførende et lammelsesangreb.

I den gamle stabile distribution (jessie), er disse problemer rettet i version 7.38.0-4+deb8u6.

I den stabile distribution (stretch), er disse problemer rettet i version 7.52.1-5+deb9u1.

Vi anbefaler at du opgraderer dine curl-pakker.