• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4136-1 curl -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4136-1 curl -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
В cURL, библиотеке передачи URL, были обнаружены многочисленные уязвимости.

CVE-2018-1000120
    Дай Фан Тан обнаружил, что curl может по ошибке записать нулевой байт за
    пределы выделенного буфера памяти, когда curl работает по FTP URL при
    выборе настройки по отправке только одной команды CWD в случае, если часть каталога
    URL содержит последовательность “%00”.
CVE-2018-1000121
    Дарио Вайзер обнаружил, что curl может выполнять разыменование близкого к NULL
    адреса при получении LDAP URL из-за того, что функция ldap_get_attribute_ber()
    возвращает LDAP_SUCCESS и NULL-указатель. Вредоносный сервер может
    вызвать аварийную остановку использующего libcurl приложения, разрешающего LDAP URL,
    или разрешающего перенаправления на LDAP URL.
CVE-2018-1000122
    Сотрудники OSS-fuzz при помощи Макса Даймонда обнаружили, что
    curl может скопировать данные за пределами выделенного буфера
    динамической памяти при запросе передачи RTSP URL.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 7.38.0-4+deb8u10.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 7.52.1-5+deb9u5.
Рекомендуется обновить пакеты curl.
С подробным статусом поддержки безопасности curl можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/curl">https://security-tracker.debian.org/tracker/curl">https://security-tracker.debian.org/tracker/curl
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
curl - 7.52.1-5+deb9u5
libcurl3 - 7.52.1-5+deb9u5
libcurl3-dbg - 7.52.1-5+deb9u5
libcurl3-gnutls - 7.52.1-5+deb9u5
libcurl3-nss - 7.52.1-5+deb9u5
libcurl4-doc - 7.52.1-5+deb9u5
libcurl4-gnutls-dev - 7.52.1-5+deb9u5
libcurl4-nss-dev - 7.52.1-5+deb9u5
libcurl4-openssl-dev - 7.52.1-5+deb9u5
Debian GNU/Linux 8:
noarch:
curl - 7.38.0-4+deb8u10
libcurl3 - 7.38.0-4+deb8u10
libcurl3-dbg - 7.38.0-4+deb8u10
libcurl3-gnutls - 7.38.0-4+deb8u10
libcurl3-nss - 7.38.0-4+deb8u10
libcurl4-doc - 7.38.0-4+deb8u10
libcurl4-gnutls-dev - 7.38.0-4+deb8u10
libcurl4-nss-dev - 7.38.0-4+deb8u10
libcurl4-openssl-dev - 7.38.0-4+deb8u10
Ссылки
http://www.debian.org/security/dsa-4136/

Источник: CVE
Наименование: CVE-2018-1000121
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000121

Источник: CVE
Наименование: CVE-2018-1000120
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000120

Источник: CVE
Наименование: CVE-2018-1000122
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000122