Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/04/2015
Actualización de curl en Debian
Publicada actualización de curl que resuelve varias vulnerabilidades en Debian.Se han descubierto varias vulnerabilidades en cURL, y la librería URL:
- CVE-2015-3143
Las conexiones NTLM autenticadas podrían reutilizar peticiones sin usar el conjunto de credenciales en uso, lo que permitiría el envio de peticiones HTTP sobre la conexión autenticada como un usuario diferente.
- CVE-2015-3144
Al examinar una URL sin nombre de host (por ejemplo "http://:80"), libcurl intentaría leer de una dirección de memoria incorrecta. Esto podría permitir a un atacante remoto causar una denegación de servidio. Esta vulnerabilidad solo afecta a las versiones jessie and unstable (sid).
- CVE-2015-3145
Al examinar cookies HTTP, si la ruta de la cookie incluye solo un par de comillas, libcurl intentará escribir a una dirección de memoria incorrecta. Esto podría permitir a un atacante causar una denegación de servicio.Esta vulnerabilidad solo afecta a las versiones jessie and unstable (sid).
- CVE-2015-3148
Durante las peticiones HTTP usando el método de negociación de la autenticación junto con NTLM, la conexión usada no se marcará como autenticada, haciendo posible su reutilización y el envio de peticiones de un usuario diferente sobre la conexión autenticada.
Versiones de Debian wheezy, jessie y sid.
Referencias:CVE-2015-3143, CVE-2015-3144, CVE-2015-3145, CVE-2015-3148
Solución:Recomendamos actualizar los paquetes de curl.
- Para wheezy, estos problemas se han solucionado en la versión 7.26.0-1+wheezy13.
- Para jessie, estos problemas se han solucionado en la versión 7.38.0-4+deb8u1.
- Para sid, estos problemas se han solucionado en la versión 7.42.0-1.