Debians sikkerhedsbulletin

DSA-4098-1 curl -- sikkerhedsopdatering

Rapporteret den:
26. jan 2018
Berørte pakker:
curl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2018-1000005, CVE-2018-1000007.
Yderligere oplysninger:

To sårbarheder blev opdaget i cURL, et URL-overførselsbibliotek.

  • CVE-2018-1000005

    Zhouyihai Ding opdagede en læsning uden for grænserne i koden, der håndterer HTTP/2-trailere. Problemet påvirker ikke den gamle stabile distribution (jessie).

  • CVE-2018-1000007

    Craig de Stigter opdagede at autentifikationsdata kunne lækkes til tredjeparter, når HTTP-viderestillinger blev fulgt.

I den gamle stabile distribution (jessie), er disse problemer rettet i version 7.38.0-4+deb8u9.

I den stabile distribution (stretch), er disse problemer rettet i version 7.52.1-5+deb9u4.

Vi anbefaler at du opgraderer dine curl-pakker.

For detaljeret sikkerhedsstatus vedrørende curl, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/curl