Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2271-1 curl

Säkerhetsbulletin från Debian

DSA-2271-1 curl -- felaktig delegering av klientautentiseringsinformation

Rapporterat den:

2011-07-02

Berörda paket:

curl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2011-2192.

Ytterligare information:

Richard Silverman upptäckte att vid GSSAPI-autentisering, utför libcurl ovillkorligt delegering av autentiseringsuppgifter. Detta ger serven en kopia av klientens säkerhetsautentisering, vilket tillåter servern att personifiera klienten till alla andra som använder samma GSSAPI-mekanism. Detta är uppenbarligen en väldigt känsligt operation, vilket endast bör göras när användaren explicit efterfrågar detta.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 7.18.2-8lenny5.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 7.21.0-2.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 7.21.6-2.

För den instabila utgåvan (Sid) har detta problem rättats i version 7.21.6-2.

Vi rekommenderar att ni uppgraderar era curl-paket.