데비안 보안 권고

DSA-4386-1 curl -- 보안 업데이트

보고일:
2019년 02월 06일
영향 받는 패키지:
curl
위험성:
보안 데이터베이스 참조:
Mitre의 CVE 사전: CVE-2018-16890, CVE-2019-3822, CVE-2019-3823.
추가 정보:

여러 취약점이 URL 변환 라이브러리 cURL에서 발견되었습니다.

  • CVE-2018-16890

    Wenxiang Qian of Tencent Blade Team discovered that the function handling incoming NTLM type-2 messages does not validate incoming data correctly and is subject to an integer overflow vulnerability, which could lead to an out-of-bounds buffer read.

  • CVE-2019-3822

    Wenxiang Qian of Tencent Blade Team discovered that the function creating an outgoing NTLM type-3 header is subject to an integer overflow vulnerability, which could lead to an out-of-bounds write.

  • CVE-2019-3823

    Brian Carpenter of Geeknik Labs discovered that the code handling the end-of-response for SMTP is subject to an out-of-bounds heap read.

안정 배포(stretch)에서, 이 문제를 버전 7.52.1-5+deb9u9에서 고쳤습니다.

curl 패키지를 업그레이드 하는 게 좋습니다.

curl의 자세한 보안 상태는 보안 추적 페이지 참조: https://security-tracker.debian.org/tracker/curl