Debians sikkerhedsbulletin

DSA-4633-1 curl -- sikkerhedsopdatering

Rapporteret den:
22. feb 2020
Berørte pakker:
curl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 929351, Fejl 940009, Fejl 940010.
I Mitres CVE-ordbog: CVE-2019-5436, CVE-2019-5481, CVE-2019-5482.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i cURL, et URL-overførselsbibliotek.

  • CVE-2019-5436

    Et heapbufferoverløb i TFTP-modtagelseskoden blev opdaget, hvilket kunne muliggøre lammelsesangreb eller udførelse af vilkårlig kode. Det påvirker kun den gamle stabile distribution (stretch).

  • CVE-2019-5481

    Thomas Vegas opdagede en dobbelt frigivelse i FTP-KRB-koden, udløst af en ondsindet server, som sender en meget stor datablok.

  • CVE-2019-5482

    Thomas Vegas opdagede et heapbufferoverløb, der kunne udløses når en lille ikke-standard-TFTP-blokstørrelse blev anvendt.

I den gamle stabile distribution (stretch), er disse problemer rettet i version 7.52.1-5+deb9u10.

I den stabile distribution (buster), er disse problemer rettet i version 7.64.0-4+deb10u1.

Vi anbefaler at du opgraderer dine curl-pakker.

For detaljeret sikkerhedsstatus vedrørende curl, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/curl