Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
curl
(any)
libcurl3
(any)
libcurl3-dbg
(any)
libcurl3-gnutls
(any)
libcurl3-nss
(any)
libcurl4-doc
(any)
libcurl4-gnutls-dev
(any)
libcurl4-nss-dev
(any)
libcurl4-openssl-dev
(any)
Описание
В cURL, библиотеке передачи URL, были обнаружены две уязвимости.
CVE-2018-1000005
Чжоуихай Дин обнаружил чтение за пределами выделенного буфера памяти в коде
для обработки концевые метки HTTP/2. Эта проблема не касается предыдущего стабильного
выпуска (jessie).
CVE-2018-1000007
Крэйг де Стигтер обнаружил, что данных аутентификации может быть раскрыта
третьей стороне при переходе по HTTP-перенаправлениям.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 7.38.0-4+deb8u9.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 7.52.1-5+deb9u4.
Рекомендуется обновить пакеты curl.
С подробным статусом поддержки безопасности curl можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/curl">https://security-tracker.debian.org/tracker/curl">https://security-tracker.debian.org/tracker/curl
CVE-2018-1000005
Чжоуихай Дин обнаружил чтение за пределами выделенного буфера памяти в коде
для обработки концевые метки HTTP/2. Эта проблема не касается предыдущего стабильного
выпуска (jessie).
CVE-2018-1000007
Крэйг де Стигтер обнаружил, что данных аутентификации может быть раскрыта
третьей стороне при переходе по HTTP-перенаправлениям.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 7.38.0-4+deb8u9.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 7.52.1-5+deb9u4.
Рекомендуется обновить пакеты curl.
С подробным статусом поддержки безопасности curl можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/curl">https://security-tracker.debian.org/tracker/curl">https://security-tracker.debian.org/tracker/curl
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
curl - 7.52.1-5+deb9u4
libcurl3 - 7.52.1-5+deb9u4
libcurl3-dbg - 7.52.1-5+deb9u4
libcurl3-gnutls - 7.52.1-5+deb9u4
libcurl3-nss - 7.52.1-5+deb9u4
libcurl4-doc - 7.52.1-5+deb9u4
libcurl4-gnutls-dev - 7.52.1-5+deb9u4
libcurl4-nss-dev - 7.52.1-5+deb9u4
libcurl4-openssl-dev - 7.52.1-5+deb9u4
Debian GNU/Linux 8:
noarch:
curl - 7.38.0-4+deb8u9
libcurl3 - 7.38.0-4+deb8u9
libcurl3-dbg - 7.38.0-4+deb8u9
libcurl3-gnutls - 7.38.0-4+deb8u9
libcurl3-nss - 7.38.0-4+deb8u9
libcurl4-doc - 7.38.0-4+deb8u9
libcurl4-gnutls-dev - 7.38.0-4+deb8u9
libcurl4-nss-dev - 7.38.0-4+deb8u9
libcurl4-openssl-dev - 7.38.0-4+deb8u9
Debian GNU/Linux 9:
noarch:
curl - 7.52.1-5+deb9u4
libcurl3 - 7.52.1-5+deb9u4
libcurl3-dbg - 7.52.1-5+deb9u4
libcurl3-gnutls - 7.52.1-5+deb9u4
libcurl3-nss - 7.52.1-5+deb9u4
libcurl4-doc - 7.52.1-5+deb9u4
libcurl4-gnutls-dev - 7.52.1-5+deb9u4
libcurl4-nss-dev - 7.52.1-5+deb9u4
libcurl4-openssl-dev - 7.52.1-5+deb9u4
Debian GNU/Linux 8:
noarch:
curl - 7.38.0-4+deb8u9
libcurl3 - 7.38.0-4+deb8u9
libcurl3-dbg - 7.38.0-4+deb8u9
libcurl3-gnutls - 7.38.0-4+deb8u9
libcurl3-nss - 7.38.0-4+deb8u9
libcurl4-doc - 7.38.0-4+deb8u9
libcurl4-gnutls-dev - 7.38.0-4+deb8u9
libcurl4-nss-dev - 7.38.0-4+deb8u9
libcurl4-openssl-dev - 7.38.0-4+deb8u9
Ссылки
http://www.debian.org/security/dsa-4098/
Источник: CVE
Наименование: CVE-2018-1000007
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000007
Источник: CVE
Наименование: CVE-2018-1000005
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000005
Источник: CVE
Наименование: CVE-2018-1000007
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000007
Источник: CVE
Наименование: CVE-2018-1000005
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000005