Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3705-1 curl

Debians sikkerhedsbulletin

DSA-3705-1 curl -- sikkerhedsopdatering

Rapporteret den:

3. nov 2016

Berørte pakker:

curl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2016-8615, CVE-2016-8616, CVE-2016-8617, CVE-2016-8618, CVE-2016-8619, CVE-2016-8620, CVE-2016-8621, CVE-2016-8622, CVE-2016-8623, CVE-2016-8624.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i cURL, et URL-overførselsbibliotek:

• CVE-2016-8615

  Man opdagede at en ondsindet HTTP-server kunne sprøjte rå cookies til vilkårlige domæner indi i kagedåsen.

• CVE-2016-8616

  Man opdagede at når der blev genbrugt en forbindelse, foretog curl sammenligninger uden forskel på små og store bogstaver i brugernavne og adgangskoder, mod den eksisterende forbindelse.

• CVE-2016-8617

  Man opdagede at på systemer med 32 bit-addresser i brugerrummet (fx x86, ARM, x32), løb værdien for uddatabufferstørrelsen beregnet i base64-encode-funktionen over, hvis inddatastørrelsen var mindst 1GB data, forårsagende at der blev allokeret en for lille uddatabuffer.

• CVE-2016-8618

  Man opdagede funktionen curl_maprintf() kunne narres til at foretage en dobbelt frigivelse på grund af en usikker size_t-multiplikation på systemer, anvender 32 bit-size_t-variabler.

• CVE-2016-8619

  Man opdagede at Kerberos-implementeringen kunne narres til at foretage en dobbelt frigivelse, når et af længdefelterne blev læst fra en socket.

• CVE-2016-8620

  Man opdagede at curl tools globbing-funktionalitet kunne skrive til ugyldige hukommelsesområder, når der blev behandlet ugyldige intervaller.

• CVE-2016-8621

  Man opdagede at funktionen curl_getdate kunne læse uden for grænserne, når der blev fortolket ugyldige datostrenge.

• CVE-2016-8622

  Man opdagede at dekodningsfunktionen til URL percent-encoding returnerede en signeret 32 bit-heltalsvariabel som længde, selv om den allokerede en destinationsbuffer større end 2GB, hvilket førte til en skrivning uden for grænserne.

• CVE-2016-8623

  Man opdagede at libcurl kunne tilgå et allerede frigivet hukommelsesområde, på grund af samtidig adgang til delte cookies. Det kunne føre til et lammelsesangreb eller blotlæggelse af følsomme oplysninger.

• CVE-2016-8624

  Man opdagede at curl ikke fortolkede autoritetskomponenten i en URL på korrekt vis, når værtsnavnsdelen sluttede med et #-tegn, og kunne narres til at forbinde sig med en anden værrt.

I den stabile distribution (jessie), er disse problemer rettet i version 7.38.0-4+deb8u5.

I den ustabile distribution (sid), er disse problemer rettet i version 7.51.0-1.

Vi anbefaler at du opgraderer dine curl-pakker.