Информация по безопасности / 2014 / Информация о безопасности -- DSA-2902-1 curl

Рекомендация Debian по безопасности

DSA-2902-1 curl -- обновление безопасности

Дата сообщения:

13.04.2014

Затронутые пакеты:

curl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 742728.
В каталоге Mitre CVE: CVE-2014-0138, CVE-2014-0139.

Более подробная информация:

В cURL, библиотеке передачи URL, были обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2014-0138

  Стив Хоулм обнаружил, что libcurl в некоторых обстоятельствах может заново использовать неправильное соединение, если нужно осуществить передачу с использованием протокола, отличного от HTTP и FTP.

• CVE-2014-0139

  Ричард Мур из Westpoint Ltd. сообщил, что при определённых условиях поведение libcurl нарушает RFC 2828, библиотека некорректно проверяет шаблоны сертификатов SSL, содержащих буквальные IP адреса.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 7.21.0-2.1+squeeze8.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 7.26.0-1+wheezy9.

В тестируемом выпуске (jessie) эти проблемы были исправлены в версии 7.36.0-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 7.36.0-1.

Рекомендуется обновить пакеты curl.