Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3122-1 curl

Säkerhetsbulletin från Debian

DSA-3122-1 curl -- säkerhetsuppdatering

Rapporterat den:

2015-01-08

Berörda paket:

curl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-8150.

Ytterligare information:

Andrey Labunets från Facebook upptäckte att cURL, ett URL-överföringsbibliotek, misslyckas att ordentligt hantera URLer med inbäddade slutradstecken. En angripare som har möjlighet att göra en applikation som använder libcurl för att få åtkomst till en speciellt skapad URL via en HTTP-proxy kunde använda denna brist till att göra ytterligare förfrågningar på ett sätt som inte var tänkt, eller skicka ytterligare förfrågehuvuden till en förfrågan.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 7.26.0-1+wheezy12.

För den kommande stabila utgåvan (Jessie), kommer detta problem att rättas inom kort.

För den instabila utgåvan (Sid) har detta problem rättats i version 7.38.0-4.

Vi rekommenderar att ni uppgraderar era curl-paket.