Debians sikkerhedsbulletin
DSA-4136-1 curl -- sikkerhedsopdatering
- Rapporteret den:
- 14. mar 2018
- Berørte pakker:
- curl
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2018-1000120, CVE-2018-1000121, CVE-2018-1000122.
- Yderligere oplysninger:
-
Adskillige sårbarheder blev opdaget i cURL, et URL-overførselsbibliotek.
- CVE-2018-1000120
Duy Phan Thanh opdagede at curl kunne blive narret til at skrive en nulbyte uden for grænserne, når curl fik besked på at arbejde på FTP-URL, og indstillet til kun at benytte en enkelt CWD-kommando, hvis mappedelen af URL'en indeholder en “%00”-sekvents.
- CVE-2018-1000121
Dario Weisser opdagede at curl kunne might dereferere en næsten-NULL-adresse, når den modtager en LDAP-URL, på grund af at funktionen ldap_get_attribute_ber() returnerer LDAP_SUCCESS og en NULL-pointer. En ondsindet server kunne få applikationer, der benytter libcurl og som tillader viderestillinger til LDAP-URL'er, til at gå ned.
- CVE-2018-1000122
OSS-fuzz, med hjælp fra Max Dymond, opdagede at curl kunne narres til at kopiere data forbi slutningen af dens heapbaserede buffer, når det blev bedt om at overføre en RTSP-URL.
I den gamle stabile distribution (jessie), er disse problemer rettet i version 7.38.0-4+deb8u10.
I den stabile distribution (stretch), er disse problemer rettet i version 7.52.1-5+deb9u5.
Vi anbefaler at du opgraderer dine curl-pakker.
For detaljeret sikkerhedsstatus vedrørende curl, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/curl
- CVE-2018-1000120