Рекомендация Debian по безопасности

DSA-4386-1 curl -- обновление безопасности

Дата сообщения:
06.02.2019
Затронутые пакеты:
curl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2018-16890, CVE-2019-3822, CVE-2019-3823.
Более подробная информация:

В cURL, библиотеке передачи URL, были обнаружены многочисленные уязвимости.

  • CVE-2018-16890

    Вэньсян Цянь из Tencent Blade Team обнаружил, что функция, обрабатывающая входящие сообщения NTLM type-2, неправильно выполняет проверку входящи данных и уязвима к переполнению целых чисел, что может приводить к чтению за пределами выделенного буфера памяти.

  • CVE-2019-3822

    Вэньсян Цянь из Tencent Blade Team обнаружил, что функция, создающая исходящий заголовок NTLM type-3, уязвима к переполненю целы чисел, что может приводить к записи за пределами выделенного буфера.

  • CVE-2019-3823

    Брайан Карпентер из Geeknik Labs обнаружил, что код для обработки конца ответа для SMTP уязвим к чтению за пределами выделенного буфера динамической памяти.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 7.52.1-5+deb9u9.

Рекомендуется обновить пакеты curl.

С подробным статусом поддержки безопасности curl можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/curl