Aviso de seguridad de Debian
curl and curl-ssl -- explotación remota
- Fecha del informe:
- 13 de oct de 2000
- Paquetes afectados:
- curl, curl-ssl
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2000-0973.
- Información adicional:
-
La versión de curl distribuida con Debian GNU/Linux 2.2 tenía un error
el el código de registro de errores: cuando creaba un mensaje de error
fallaba al comprobar el tamaño del búfer reservado para guardar el mensaje.
Esto podía ser explotado por la máquina remota devolviendo una respuesta no
válida a una petición desde curl que desbordaba el búfer de error y engañaba
a curl para que ejecutara código arbitrario.
Debian tiene dos versiones de curl: El paquete curl normal, y el paquete con criptografía curl-ssl. Este error ha sido arreglado en la versión de curl 6.0-1.1 y en la versión de curl-ssl 6.0-1.2 .
La primera versión de este aviso listaba un paquete de i386 de curl compilado erróneamente; este ha sido reemplazado con la versión 6.0-1.1.1.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
curl-ssl
- Fuentes:
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0-1.2.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0-1.2.dsc
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0-1.2.dsc
- Alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/curl-ssl_6.0-1.2_alpha.deb
- ARM:
- http://security.debian.org/dists/potato/updates/main/binary-arm/curl-ssl_6.0-1.2_arm.deb
- Intel ia32:
- http://security.debian.org/dists/potato/updates/main/binary-i386/curl-ssl_6.0-1.2_i386.deb
- PowerPC:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/curl-ssl_6.0-1.2_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/curl-ssl_6.0-1.2_sparc.deb
curl
- Fuentes:
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0-1.1.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0-1.1.dsc
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0-1.1.dsc
- Alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/curl_6.0-1.1_alpha.deb
- ARM:
- http://security.debian.org/dists/potato/updates/main/binary-arm/curl_6.0-1.1_arm.deb
- Intel ia32:
- http://security.debian.org/dists/potato/updates/main/binary-i386/curl_6.0-1.1.1_i386.deb
- PowerPC:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/curl_6.0-1.1_powerpc.deb
- Sun SPARC:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/curl_6.0-1.1_sparc.deb