Säkerhetsbulletin från Debian
DSA-4051-1 curl -- säkerhetsuppdatering
- Rapporterat den:
- 2017-11-29
- Berörda paket:
- curl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2017-8816, CVE-2017-8817.
- Ytterligare information:
-
Två sårbarheter upptäcktes i cURL, ett URL-överföringsbibliotek.
- CVE-2017-8816
Alex Nichols upptäckte ett buffertspill i NTLM-autentiseringskoden som kan triggas på 32-bitars system där ett heltalsspill kan ske vid beräkningen av en storlek av en minnesallokering.
- CVE-2017-8817
Fuzzing av OSS-Fuzz-projektet ledde till upptäckten av en brist rörande läsning utanför gränser i FTP-wildcardfunktionen i libcurl. En illasinnad server kunde omdirigera en libcurl-baserad klient till en URL med hjälp av ett wildcard-mönster, och därmed trigga läsningen utanför gränserna.
För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 7.38.0-4+deb8u8.
För den stabila utgåvan (Stretch) har dessa problem rättats i version 7.52.1-5+deb9u3.
Vi rekommenderar att ni uppgraderar era curl-paket.
För detaljerad säkerhetsstatus om curl vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/curl
- CVE-2017-8816