Säkerhetsbulletin från Debian

DSA-4051-1 curl -- säkerhetsuppdatering

Rapporterat den:
2017-11-29
Berörda paket:
curl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2017-8816, CVE-2017-8817.
Ytterligare information:

Två sårbarheter upptäcktes i cURL, ett URL-överföringsbibliotek.

  • CVE-2017-8816

    Alex Nichols upptäckte ett buffertspill i NTLM-autentiseringskoden som kan triggas på 32-bitars system där ett heltalsspill kan ske vid beräkningen av en storlek av en minnesallokering.

  • CVE-2017-8817

    Fuzzing av OSS-Fuzz-projektet ledde till upptäckten av en brist rörande läsning utanför gränser i FTP-wildcardfunktionen i libcurl. En illasinnad server kunde omdirigera en libcurl-baserad klient till en URL med hjälp av ett wildcard-mönster, och därmed trigga läsningen utanför gränserna.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 7.38.0-4+deb8u8.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 7.52.1-5+deb9u3.

Vi rekommenderar att ni uppgraderar era curl-paket.

För detaljerad säkerhetsstatus om curl vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/curl