Информация по безопасности / 2018 / Информация о безопасности -- DSA-4331-1 curl

Рекомендация Debian по безопасности

DSA-4331-1 curl -- обновление безопасности

Дата сообщения:

02.11.2018

Затронутые пакеты:

curl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2018-16839, CVE-2018-16842.

Более подробная информация:

В cURL, библиотеке передачи URL, были обнаружены две уязвимости.

• CVE-2018-16839

  Харри Синтонен обнаружил, что в системах с 32-х битным size_t может быть вызвано переполнение целых чисел, если имя пользователя SASL имеет длину более 2ГБ. В свою очередь это приводит к выделению очень маленького буфера вместо очень большого, что приводит к возникновению переполнения кучи при использовании этого буфера.

• CVE-2018-16842

  Брайан Карпентер обнаружил, что логика в инструменте curl для сворачивания сообщений об ошибках для того, чтобы они входили в размер колонки в 80 символов, содержит ошибку, что приводит к чтению за пределами выделенного буфера в случае, если одно слово в сообщении имеет длину более 80 байтов.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 7.52.1-5+deb9u8.

Рекомендуется обновить пакеты curl.

С подробным статусом поддержки безопасности curl можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/curl