Debians sikkerhedsbulletin

DSA-3122-1 curl -- sikkerhedsopdatering

Rapporteret den:
8. jan 2015
Berørte pakker:
curl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-8150.
Yderligere oplysninger:

Andrey Labunets fra Facebook opdagede at cURL, en bibliotek til overførsel af URL'er, ikke på korrekt vis håndterede URL'er med indlejrede slut på linjen-tegn. En angriber med mulighed for at lave en applikation, som anvender libcurl til at tilgå en særligt fremstillet URL via en HTTP-proxy, kunne udnytte fejlen til at foretage yderligere forespørgsler på en måde, som ikke var tiltænkt, eller der kunne indsættes yderligere forespørgselsheadere i forespørgslen.

I den stabile distribution (wheezy), er dette problem rettet i version 7.26.0-1+wheezy12.

I den kommende stabile distribution (jessie), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 7.38.0-4.

Vi anbefaler at du opgraderer dine curl-pakker.