Ispravljen propust paketa cURL

Ispravljen je sigurnosni propust otkriven u radu programskog paketa cURL koji udaljenom napadaču omogućuje otkrivanje osjetljivih podataka.

Paket:	curl 7.x
Operacijski sustavi:	Debian Linux 5.0 (lenny), Debian Linux 6.0 (squeeze)
Kritičnost:	3.2
Problem:	pogreška u programskoj komponenti
Iskorištavanje:	udaljeno
Posljedica:	neovlašteni pristup sustavu, otkrivanje osjetljivih informacija
Rješenje:	programska zakrpa proizvođača
CVE:	CVE-2011-2192
Izvorni ID preporuke:	DSA-2271-1
Izvor:	Debian

Problem:
Propust je posljedica nepravilnosti u radu GSS/Negotiate mehanizma.
Posljedica:
Napadač može iskoristiti problem za otkrivanje potencijalno osjetljivih informacija te za izvođenje tzv. "spoofing" napada.
Rješenje:
Korisnici se potiču na instalaciju nadogradnje.

Izvorni tekst preporuke

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
Debian Security Advisory DSA-2271-1                   Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
http://www.debian.org/security/                         Giuseppe Iuculano
July 02, 2011                          http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package        : curl
Vulnerability  : improper delegation of client credentials
Problem type   : remote
Debian-specific: no
CVE ID         : CVE-2011-2192 
Debian Bug     : #631615

Richard Silverman discovered that when doing GSSAPI authentication, libcurl
unconditionally performs credential delegation. This hands the server a copy
of
the client's security credentials, allowing the server to impersonate the
client to any other using the same GSSAPI mechanism.
This is obviously a very sensitive operation, which should only be done when
the user explicitly so directs.


For the oldstable distribution (lenny), this problem has been fixed in
version 7.18.2-8lenny5.

For the stable distribution (squeeze), this problem has been fixed in
version 7.21.0-2.

For the testing distribution (wheezy), this problem has been fixed in
version 7.21.6-2.

For the unstable distribution (sid), this problem has been fixed in
version 7.21.6-2.

We recommend that you upgrade your curl packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/

Mailing list: Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)

iEYEARECAAYFAk4OzaUACgkQNxpp46476aoSKACfX1R3mmZoiUa0JRSoPe2BtJ8O
BdMAn0AgK41VMLR0mOuU0fN2ZmMcO6+1
=taf+
-----END PGP SIGNATURE-----


-- 
To UNSUBSCRIBE, email to Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
with a subject of "unsubscribe". Trouble? Contact Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
Archive: http://lists.debian.org/Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.

Ispravljen propust paketa cURL

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti

Ispravljen propust paketa cURL

Tražilica portala

Aktivnosti

O CIS-u

Posljednje sigurnosne preporuke

Posljednje vijesti

Popularni članci

Posljednji dokumenti