Debians sikkerhedsbulletin

DSA-4881-1 curl -- sikkerhedsopdatering

Rapporteret den:
30. mar 2021
Berørte pakker:
curl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 965280, Fejl 965281, Fejl 968831, Fejl 977161, Fejl 977162, Fejl 977163.
I Mitres CVE-ordbog: CVE-2020-8169, CVE-2020-8177, CVE-2020-8231, CVE-2020-8284, CVE-2020-8285, CVE-2020-8286, CVE-2021-22876, CVE-2021-22890.
Yderligere oplysninger:

Adskillige sårbarheder blev opdaget i cURL, et URL-overførselsbibliotek:

  • CVE-2020-8169

    Marek Szlagor rapporterede at libcurl kunne narres til at foranstille en del af adgangskoden til værtsnavnet før det blev slået op, potentielt førende til en lækage af den delvise adgangskode over netværket og til DNS-serveren/-serverne.

  • CVE-2020-8177

    sn rapporterede at curl kunne narres af en ondsindet server til at overskrive en lokal fil ved hjælp af valgmulighederne -J (--remote-header-name) og -i (--include) på den samme kommandolinje.

  • CVE-2020-8231

    Marc Aldorasi rapporterede at libcurl kunne anvende den forkerte forbindelse når en applikation, som anvender libcurls multi-API, opsætter valgmuligheden CURLOPT_CONNECT_ONLY, hvilke kunne føre til informationslækager.

  • CVE-2020-8284

    Varnavas Papaioannou rapporterede at en ondsindet server kunne anvende PASV-svaret til at narre curl til for at forbinde sig tilbage til en vilkårlig IP-adresse og port, potentielt førende til at curl udtrak oplysninger om tjenester, som ellers er private og ikke offentliggjorte.

  • CVE-2020-8285

    xnynx rapporterede at libcurl kunne løbe tør for plads på stakken, når der funktionaliteten til FTP-wildcardmatching blev anvendt (CURLOPT_CHUNK_BGN_FUNCTION).

  • CVE-2020-8286

    Der blev rapporteret at libcurl ikke kontrollede om et OCSP-svar faktisk svarede til certifikatet, som det var hensigten.

  • CVE-2021-22876

    Viktor Szakats rapporterede at libcurl ikke fjernede brugerens loginoplysninger fra URL'en, når det automatisk udfyldte Referer HTTP-forespørgselsheaderfeltet i udgående HTTP-forespørgsler.

  • CVE-2021-22890

    Mingtao Yang rapporterede at ved anvendelse af en HTTPS-proxy og TLS 1.3, kunne libcurl forveksle sessiontickets ankommende fra HTTPS-proxy'en som var de i stedet ankommet fra den fjerne server. Dermed kunne en HTTPS-proxy være i stand til at narre libcurl til at anvende den forkerte sessionticket for værten, og dermed omgå server-TLS-certifikatkontrollen.

I den stabile distribution (buster), er disse problemer rettet i version 7.64.0-4+deb10u2.

Vi anbefaler at du opgraderer dine curl-pakker.

For detaljeret sikkerhedsstatus vedrørende curl, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/curl