Debians sikkerhedsbulletin
DSA-3122-1 curl -- sikkerhedsopdatering
- Rapporteret den:
- 8. jan 2015
- Berørte pakker:
- curl
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2014-8150.
- Yderligere oplysninger:
-
Andrey Labunets fra Facebook opdagede at cURL, en bibliotek til overførsel af URL'er, ikke på korrekt vis håndterede URL'er med indlejrede slut på linjen-tegn. En angriber med mulighed for at lave en applikation, som anvender libcurl til at tilgå en særligt fremstillet URL via en HTTP-proxy, kunne udnytte fejlen til at foretage yderligere forespørgsler på en måde, som ikke var tiltænkt, eller der kunne indsættes yderligere forespørgselsheadere i forespørgslen.
I den stabile distribution (wheezy), er dette problem rettet i version 7.26.0-1+wheezy12.
I den kommende stabile distribution (jessie), vil dette problem snart blive rettet.
I den ustabile distribution (sid), er dette problem rettet i version 7.38.0-4.
Vi anbefaler at du opgraderer dine curl-pakker.