Информация по безопасности / 2011 / Информация о безопасности -- DSA-2271-1 curl

Рекомендация Debian по безопасности

DSA-2271-1 curl -- неправильная передача данных учётной записи клиента

Дата сообщения:

02.07.2011

Затронутые пакеты:

curl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-2192.

Более подробная информация:

Ричард Сильвермэн обнаружил, что при выполнении аутентификации через GSSAPI, libcurl без каких-либо ограничений выполняет передачу данных учётной записи. Это приводит к передаче серверу копии данных учётной записи клиента, что позволяет серверу выдать себя за этого клиента для любого другого сервера, использующего тот же механизм GSSAPI. Очевидно, что это очень чувствительная операция, которая должна выполняться только в том случае, когда пользователь явно требует этого.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 7.18.2-8lenny5.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 7.21.0-2.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 7.21.6-2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 7.21.6-2.

Рекомендуется обновить пакеты curl.