Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2902-1 curl

Säkerhetsbulletin från Debian

DSA-2902-1 curl -- säkerhetsuppdatering

Rapporterat den:

2014-04-13

Berörda paket:

curl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 742728.
I Mitres CVE-förteckning: CVE-2014-0138, CVE-2014-0139.

Ytterligare information:

Två sårbarheter har upptäckts i cURL, ett URL-överföringsbibliotek. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2014-0138

  Steve Holme upptäckte att libcurl under vissa omständigheter återanvänder fel anslutning när den förfrågas att göra överföringar med andra protokoll än HTTP och FTP.

• CVE-2014-0139

  Richard Moore från Westpoint Ltd. rapporterade att libcurl inte uppträder enligt RFC 2828 under vissa omständigheter och validerar jokertecken-SSL-certifikat felaktigt som innehåller bokstavliga IP-adresser.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 7.21.0-2.1+squeeze8.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 7.26.0-1+wheezy9.

För uttestningsutgåvan (Jessie) har dessa problem rättats i version 7.36.0-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 7.36.0-1.

Vi rekommenderar att ni uppgraderar era curl-paket.