Aviso de seguridad de Debian
DSA-4633-1 curl -- actualización de seguridad
- Fecha del informe:
- 22 de feb de 2020
- Paquetes afectados:
- curl
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 929351, error 940009, error 940010.
En el diccionario CVE de Mitre: CVE-2019-5436, CVE-2019-5481, CVE-2019-5482. - Información adicional:
-
Se descubrieron múltiples vulnerabilidades en cURL, una biblioteca para transferencia de URL.
- CVE-2019-5436
Se descubrió un desbordamiento de memoria dinámica («heap») en el código de recepción de TFTP que podría permitir denegación de servicio o ejecución de código arbitrario. Esto solo afecta a la distribución «antigua estable» (stretch).
- CVE-2019-5481
Thomas Vegas descubrió una «doble liberación» en el código de FTP-KRB desencadenada por el envío de un bloque de datos muy grande por parte de un servidor malicioso.
- CVE-2019-5482
Thomas Vegas descubrió un desbordamiento de memoria dinámica («heap») que podría desencadenarse cuando se utiliza un tamaño de bloque de TFTP pequeño y distinto del tamaño de bloque por omisión.
Para la distribución «antigua estable» (stretch), estos problemas se han corregido en la versión 7.52.1-5+deb9u10.
Para la distribución «estable» (buster), estos problemas se han corregido en la versión 7.64.0-4+deb10u1.
Le recomendamos que actualice los paquetes de curl.
Para información detallada sobre el estado de seguridad de curl, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/curl
- CVE-2019-5436