Информация по безопасности / 2019 / Информация о безопасности -- DSA-4386-1 curl

Рекомендация Debian по безопасности

DSA-4386-1 curl -- обновление безопасности

Дата сообщения:

06.02.2019

Затронутые пакеты:

curl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2018-16890, CVE-2019-3822, CVE-2019-3823.

Более подробная информация:

В cURL, библиотеке передачи URL, были обнаружены многочисленные уязвимости.

• CVE-2018-16890

  Вэньсян Цянь из Tencent Blade Team обнаружил, что функция, обрабатывающая входящие сообщения NTLM type-2, неправильно выполняет проверку входящих данных и уязвима к переполнению целых чисел, что может приводить к чтению за пределами выделенного буфера памяти.

• CVE-2019-3822

  Вэньсян Цянь из Tencent Blade Team обнаружил, что функция, создающая исходящий заголовок NTLM type-3, уязвима к переполненю целых чисел, что может приводить к записи за пределами выделенного буфера.

• CVE-2019-3823

  Брайан Карпентер из Geeknik Labs обнаружил, что код для обработки конца ответа для SMTP уязвим к чтению за пределами выделенного буфера динамической памяти.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 7.52.1-5+deb9u9.

Рекомендуется обновить пакеты curl.

С подробным статусом поддержки безопасности curl можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/curl