Aviso de seguridad de Debian

DSA-4633-1 curl -- actualización de seguridad

Fecha del informe:
22 de feb de 2020
Paquetes afectados:
curl
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 929351, error 940009, error 940010.
En el diccionario CVE de Mitre: CVE-2019-5436, CVE-2019-5481, CVE-2019-5482.
Información adicional:

Se descubrieron múltiples vulnerabilidades en cURL, una biblioteca para transferencia de URL.

  • CVE-2019-5436

    Se descubrió un desbordamiento de memoria dinámica («heap») en el código de recepción de TFTP que podría permitir denegación de servicio o ejecución de código arbitrario. Esto solo afecta a la distribución «antigua estable» (stretch).

  • CVE-2019-5481

    Thomas Vegas descubrió una «doble liberación» en el código de FTP-KRB desencadenada por el envío de un bloque de datos muy grande por parte de un servidor malicioso.

  • CVE-2019-5482

    Thomas Vegas descubrió un desbordamiento de memoria dinámica («heap») que podría desencadenarse cuando se utiliza un tamaño de bloque de TFTP pequeño y distinto del tamaño de bloque por omisión.

Para la distribución «antigua estable» (stretch), estos problemas se han corregido en la versión 7.52.1-5+deb9u10.

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 7.64.0-4+deb10u1.

Le recomendamos que actualice los paquetes de curl.

Para información detallada sobre el estado de seguridad de curl, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/curl