DSA-2798-1 curl -- отсутствие проверки имени узла в сертификате ssl

Уровень опасности

Средняя (4.3)

Оценка CVSS

(AV:N/AC:M/Au:N/C:N/I:P/A:N)

Производитель ПО

Debian

Наименование ПО

curl (any)

Описание

Скотт Кантор обнаружил, что curl, инструмент для загрузки файлов, отключает
проверку CURLOPT_SSLVERIFYHOST при выключенном параметре
CURLOPT_SSL_VERIFYPEER. Это также приводит к отключению проверки имени узла в сертификате ssl,
хотя должна быть отключена только проверка цепочки доверия данного
сертификата.
Пакет curl с настройками по умолчанию не подвержен этой
проблеме, поскольку параметр CURLOPT_SSLVERIFYPEER по умолчанию включён.
В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в
версии 7.21.0-2.1+squeeze5.
В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 7.26.0-1+wheezy5.
В тестируемом (jessie) и нестабильном (sid) выпусках эта проблема
была исправлена в версии 7.33.0-1.
Мы рекомендуем обновить пакеты curl.

Как исправить

Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
curl - 7.21.0-2.1+squeeze5
Debian GNU/Linux 7:
noarch:
curl - 7.26.0-1+wheezy5

Ссылки

http://www.debian.org/security/dsa-2798/

Источник: CVE
Наименование: CVE-2013-4545
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4545

Уведомление безопасности DSA-1774 DSA-2803-1 quagga -- несколько уязвимостей

Назад к списку уязвимостей

DSA-2798-1 curl -- отсутствие проверки имени узла в сертификате ssl

Карточка уязвимости

Характеристики уязвимости