Säkerhetsbulletin från Debian

DSA-3992-1 curl -- säkerhetsuppdatering

Rapporterat den:
2017-10-06
Berörda paket:
curl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 871554, Fel 871555, Fel 877671.
I Mitres CVE-förteckning: CVE-2017-1000100, CVE-2017-1000101, CVE-2017-1000254.
Ytterligare information:

Flera sårbarheter har upptäckts i cURL, ett URL-överföringsbibliotek. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2017-1000100

    Even Rouault rapporterade att cURL inte hanterar långa filnamn ordentligt vid TFTP-upladdningar. En illasinnad HTTP(S)-server kan dra fördel av denna brist genom att omdirigera en klient som använder cURL-bilbioteket till en skapad TFTP-URL och lura den att skicka privat minnesinnehåll till en fjärrserver över UDP.

  • CVE-2017-1000101

    Brian Carpenter och Yongji Ouyang rapporterade att cURL innehåller en brist i globbing-funktionen som tolkar numeriska räckvidden, vilket leder till en läsning utanför gränserna vid tolkning av en speciellt skapad URL.

  • CVE-2017-1000254

    Max Dymond rapporterade att cURL innehåller en läsning utanför gränserna i FTP PWD-svarstolken. En illasinnad server kan dra fördel av denna brist för att effektivt förhindra en klient som använder cURL-bilbioteket att fungera med det, och därmed orsaka överbelastning.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 7.38.0-4+deb8u6.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 7.52.1-5+deb9u1.

Vi rekommenderar att ni uppgraderar era curl-paket.