Säkerhetsbulletin från Debian
DSA-4098-1 curl -- säkerhetsuppdatering
- Rapporterat den:
- 2018-01-26
- Berörda paket:
- curl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2018-1000005, CVE-2018-1000007.
- Ytterligare information:
-
Två sårbarheter upptäcktes i cURL, ett URL-överföringsbibliotek.
- CVE-2018-1000005
Zhouyihai Ding upptäckte en läsning utanför gränserna i koden som hanterar HTTP/2-släp. Detta problem påverkar inte den gamla stabila utgåvan (Jessie).
- CVE-2018-1000007
Craig de Stigter upptäckte att autentiseringsdata kan läckas till tredjepart när HTTP-omdirigering följs.
För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 7.38.0-4+deb8u9.
För den stabila utgåvan (Stretch) har dessa problem rättats i version 7.52.1-5+deb9u4.
Vi rekommenderar att ni uppgraderar era curl-paket.
För detaljerad säkerhetsstatus om curl vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/curl
- CVE-2018-1000005