Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2902-1 curl

Debians sikkerhedsbulletin

DSA-2902-1 curl -- sikkerhedsopdatering

Rapporteret den:

13. apr 2014

Berørte pakker:

curl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 742728.
I Mitres CVE-ordbog: CVE-2014-0138, CVE-2014-0139.

Yderligere oplysninger:

To sårbarheder blev op daget i cURL, et URL-overførselsbibliotek. Projektet Common Vulnerabilities and Exposures har registeret følgende problemer:

• CVE-2014-0138

  Steve Holme opdagede at libcurl under nogle omstændigheder genanvendte den forkerte forbindelse, når det blev bedt om at foretage overførsler ved hjælp af andre protokoller end HTTP and FTP.

• CVE-2014-0139

  Richard Moore fra Westpoint Ltd. rapporterede atlibcurl ikke overholdt RFC 2828 under visse omstændigheder, samt at der blev foretage ukorrekte valideringer af wildcard-SSL-certifikater indehldende litterale IP-adresser.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 7.21.0-2.1+squeeze8.

I den stabile distribution (wheezy), er disse problemer rettet i version 7.26.0-1+wheezy9.

I distributionen testing (jessie), er disse problemer rettet i version 7.36.0-1.

I den ustabile distribution (sid), er disse problemer rettet i version 7.36.0-1.

Vi anbefaler at du opgraderer dine curl-pakker.