Информация по безопасности / 2021 / Информация о безопасности -- DSA-4881-1 curl

Рекомендация Debian по безопасности

DSA-4881-1 curl -- обновление безопасности

Дата сообщения:

30.03.2021

Затронутые пакеты:

curl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 965280, Ошибка 965281, Ошибка 968831, Ошибка 977161, Ошибка 977162, Ошибка 977163.
В каталоге Mitre CVE: CVE-2020-8169, CVE-2020-8177, CVE-2020-8231, CVE-2020-8284, CVE-2020-8285, CVE-2020-8286, CVE-2021-22876, CVE-2021-22890.

Более подробная информация:

В cURL, библиотека передачи URL, были обнаружены многочисленные уязвимости:

• CVE-2020-8169

  Марек Шлягор сообщил, что libcurl может добавлять часть пароля к имени узла до разрешения имени, что потенциально приводит к утечке части пароля по сети и DNS-серверам.

• CVE-2020-8177

  sn сообщил, что curl из-за вредоносного сервера может перезаписать локальный файл, если в команде одновременно используются опции -J (--remote-header-name) и -i (--include).

• CVE-2020-8231

  Марк Алдораси сообщил, что libcurl может использовать неверное соединение, когда приложение, использующее множественные API libcurl, устанавливает опцию CURLOPT_CONNECT_ONLY, что приводит к утечкам информации.

• CVE-2020-8284

  Варнавас Папаиоанноу сообщил, что вредоносный сервер может использовать PASV-ответ для того, чтобы заставить curl подключиться к произвольному IP-адресу и порту, что может приводить к тому, что curl раскрывает информацию о службах, которые в обратном случае являются частными и не раскрываются.

• CVE-2020-8285

  xnynx сообщил, что у libcurl может закончится место для стека, когда используется функционал сопоставления по шаблону FTP (CURLOPT_CHUNK_BGN_FUNCTION).

• CVE-2020-8286

  Было сообщено, что libcurl не проверяет, что OCSP-ответ действительно совпадает с сертификатом, с которым он должен совпадать.

• CVE-2021-22876

  Виктор Шакац сообщил, что libcurl не удаляет данные учётной записи пользователя из URL, когда автоматически заполняет заголовок HTTP-запроса Referer в исходящих HTTP-запросах.

• CVE-2021-22890

  Минтао Ян сообщил, что при использовании HTTPS-прокси и TLS 1.3 libcurl может спутать билеты сессий, поступающие от HTTPS-прокси, с билетами, полученными от удалённого сервера. Это может позволить HTTPS-прокси заставить libcurl использовать неправильный билет сессии для этого узла и тем самым обойти проверку TLS-сертификата сервера.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 7.64.0-4+deb10u2.

Рекомендуется обновить пакеты curl.

С подробным статусом поддержки безопасности curl можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/curl