• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4331-1 curl -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4331-1 curl -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
В cURL, библиотеке передачи URL, были обнаружены две уязвимости.

CVE-2018-16839
    Харри Синтонен обнаружил, что в системам с 32-х битным size_t
    может быть вызвано переполнение целых чисел, если имя пользователя SASL имеет длину более
    2ГБ. В свою очередь это приводит к выделению очень маленького буфера вместо
    очень большого, что приводит к возникновению
    переполнения кучи при использовании этого буфера.
CVE-2018-16842
    Брайан Карпентер обнаружил, что логика в инструменте curl для оборачивания
    сообщений об ошибках для того, чтобы они входили в размер колонки в 80 символов, содержит
    ошибку, что приводит к чтению за пределами выделенного буфера в случае, если
    одно слово в сообщении имеет длину более 80 байтов.

В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 7.52.1-5+deb9u8.
Рекомендуется обновить пакеты curl.
С подробным статусом поддержки безопасности curl можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/curl">https://security-tracker.debian.org/tracker/curl">https://security-tracker.debian.org/tracker/curl
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
curl - 7.52.1-5+deb9u8
libcurl3 - 7.52.1-5+deb9u8
libcurl3-dbg - 7.52.1-5+deb9u8
libcurl3-gnutls - 7.52.1-5+deb9u8
libcurl3-nss - 7.52.1-5+deb9u8
libcurl4-doc - 7.52.1-5+deb9u8
libcurl4-gnutls-dev - 7.52.1-5+deb9u8
libcurl4-nss-dev - 7.52.1-5+deb9u8
libcurl4-openssl-dev - 7.52.1-5+deb9u8
Ссылки
http://www.debian.org/security/dsa-4331/

Источник: CVE
Наименование: CVE-2018-16842
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16842

Источник: CVE
Наименование: CVE-2018-16839
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16839