Aviso de seguridad de Debian
DSA-4386-1 curl -- actualización de seguridad
- Fecha del informe:
- 6 de feb de 2019
- Paquetes afectados:
- curl
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2018-16890, CVE-2019-3822, CVE-2019-3823.
- Información adicional:
-
Se descubrieron múltiples vulnerabilidades en cURL, una biblioteca para transferencia de URL.
- CVE-2018-16890
Wenxiang Qian, del Tencent Blade Team, descubrió que la función que gestiona los mensajes NTLM tipo 2 entrantes no valida correctamente los datos entrantes y está expuesta a una vulnerabilidad de desbordamiento de entero que podría dar lugar a lectura de memoria fuera de límites.
- CVE-2019-3822
Wenxiang Qian, del Tencent Blade Team, descubrió que la función que crea las cabeceras NTLM tipo 3 salientes está expuesta a una vulnerabilidad de desbordamiento de entero que podría dar lugar a escritura fuera de límites.
- CVE-2019-3823
Brian Carpenter, de Geeknik Labs, descubrió que el código que gestiona los end-of-response SMTP está expuesto a una lectura de memoria dinámica («heap») fuera de límites.
Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 7.52.1-5+deb9u9.
Le recomendamos que actualice los paquetes de curl.
Para información detallada sobre el estado de seguridad de curl, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/curl
- CVE-2018-16890