Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3122-1 curl

Debians sikkerhedsbulletin

DSA-3122-1 curl -- sikkerhedsopdatering

Rapporteret den:

8. jan 2015

Berørte pakker:

curl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-8150.

Yderligere oplysninger:

Andrey Labunets fra Facebook opdagede at cURL, en bibliotek til overførsel af URL'er, ikke på korrekt vis håndterede URL'er med indlejrede slut på linjen-tegn. En angriber med mulighed for at lave en applikation, som anvender libcurl til at tilgå en særligt fremstillet URL via en HTTP-proxy, kunne udnytte fejlen til at foretage yderligere forespørgsler på en måde, som ikke var tiltænkt, eller der kunne indsættes yderligere forespørgselsheadere i forespørgslen.

I den stabile distribution (wheezy), er dette problem rettet i version 7.26.0-1+wheezy12.

I den kommende stabile distribution (jessie), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 7.38.0-4.

Vi anbefaler at du opgraderer dine curl-pakker.