Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2398-2 curl

Debians sikkerhedsbulletin

DSA-2398-2 curl -- flere sårbarheder

Rapporteret den:

31. mar 2012

Berørte pakker:

curl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 658276.
I Mitres CVE-ordbog: CVE-2011-3389, CVE-2012-0036.

Yderligere oplysninger:

Flere sårbarheder er blevet opdaget i cURL, et URL-overførselsbibliotek. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2011-3389

  Opdateringen aktiverer OpenSSL-workarounds mod BEAST-angrebet. Yderligere oplysninger findes i cURL's bulletin.

• CVE-2012-0036

  Dan Fandrich opdagede, at cURL udførte utilstrækkelig fornuftighedskontrol, når filstiens del af en URL blev fundet frem.

I den gamle stabile distribution (lenny), er dette problem rettet i version 7.18.2-8lenny6.

I den stabile distribution (squeeze), er dette problem rettet i version 7.21.0-2.1+squeeze2.

I den ustabile distribution (sid), er dette problem rettet i version 7.24.0-1.

Vi anbefaler at du opgraderer dine curl-pakker.