Debian-Sicherheitsankündigung
curl and curl-ssl -- Entfernte Ausnutzung
- Datum des Berichts:
- 13. Okt 2000
- Betroffene Pakete:
- curl, curl-ssl
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2000-0973.
- Weitere Informationen:
-
Die Version von curl, wie sie mit Debian GNU/Linux 2.2 verteilt wurde, hatte
einen Fehler im Fehler-Logging-Code: Wenn eine Fehlermeldung erstellt wird,
wird die Größe des Puffers nicht geprüft, die zum Speichern der Meldung
angefordert wird. Dies könnte von einem entfernten Rechner ausgenutzt werden,
indem eine ungültige Antwort auf eine Anfrage zurückgeliefert wird, die den
Fehlerpuffer überlaufen lässt und curl austrickst, um willkürlichen Code
auszuführen.
Debian verteilt zwei Versionen von curl: Das normale curl-Paket, und das crypto-unterstützende curl-ssl Paket. Dieser Fehler wurde in curl Version 6.0-1.1 und curl-ssl Version 6.0-1.2 behoben.
Das erste Release dieses Gutachten hatte ein falsch übersetztes curl-Paket für i386 aufgelistet; dies wurde mit der Version 6.0-1.1.1 ersetzt.
- Behoben in:
-
Debian GNU/Linux 2.2 (potato)
curl-ssl
- Quellcode:
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0-1.2.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0-1.2.dsc
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0-1.2.dsc
- Alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/curl-ssl_6.0-1.2_alpha.deb
- ARM:
- http://security.debian.org/dists/potato/updates/main/binary-arm/curl-ssl_6.0-1.2_arm.deb
- Intel ia32:
- http://security.debian.org/dists/potato/updates/main/binary-i386/curl-ssl_6.0-1.2_i386.deb
- PowerPC:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/curl-ssl_6.0-1.2_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/curl-ssl_6.0-1.2_sparc.deb
curl
- Quellcode:
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0-1.1.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0-1.1.dsc
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0-1.1.dsc
- Alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/curl_6.0-1.1_alpha.deb
- ARM:
- http://security.debian.org/dists/potato/updates/main/binary-arm/curl_6.0-1.1_arm.deb
- Intel ia32:
- http://security.debian.org/dists/potato/updates/main/binary-i386/curl_6.0-1.1.1_i386.deb
- PowerPC:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/curl_6.0-1.1_powerpc.deb
- Sun SPARC:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/curl_6.0-1.1_sparc.deb