Ispravljena dva nedostatka paketa curl

U radu programskog paketa curl uočena su i ispravljena dva sigurnosna nedostatka koja udaljeni napadač može iskoristiti za čitanje/promjenu podataka ili izvođenje tzv. "BEAST" napada.

Paket:	curl 7.x
Operacijski sustavi:	Debian Linux 5.0 (lenny), Debian Linux 6.0 (squeeze)
Kritičnost:	4.3
Problem:	neodgovarajuća provjera ulaznih podataka, pogreška u programskoj komponenti
Iskorištavanje:	udaljeno
Posljedica:	izmjena podataka, otkrivanje osjetljivih informacija
Rješenje:	programska zakrpa proizvođača
CVE:	CVE-2011-3389, CVE-2012-0036
Izvorni ID preporuke:	DSA-2398-1
Izvor:	Debian

Problem:
Propusti su posljedica pogrešnog rukovanja ulaznim URL podacima i pogreške u SSL protokolu.
Posljedica:
Udaljeni napadač može iskoristiti navedene propuste za čitanje/promjenu određenih podataka ili pregled određenih podataka putem tzv. "BEAST" napada.
Rješenje:
Savjetuje se ugradnja izdane zakrpe.

Izvorni tekst preporuke

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
Debian Security Advisory DSA-2398-1                   Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
http://www.debian.org/security/                        Moritz Muehlenhoff
January 30, 2012                       http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package        : curl
Vulnerability  : several
Problem type   : remote
Debian-specific: no
CVE ID         : CVE-2011-3389 CVE-2012-0036 

Several vulnerabilities have been discovered in Curl, an URL transfer 
library. The Common Vulnerabilities and Exposures project identifies the
following problems:

CVE-2011-3389

   This update enables OpenSSL workarounds against the "BEAST" attack.
   Additional information can be found in the Curl advisory:
   http://curl.haxx.se/docs/adv_20120124B.html

CVE-2012-0036

   Dan Fandrich discovered that Curl performs insufficient sanitising
   when extracting the file path part of an URL.

For the oldstable distribution (lenny), this problem has been fixed in
version 7.18.2-8lenny6.

For the stable distribution (squeeze), this problem has been fixed in
version 7.21.0-2.1+squeeze1.

For the unstable distribution (sid), this problem has been fixed in
version 7.24.0-1.

We recommend that you upgrade your curl packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/

Mailing list: Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)

iEYEARECAAYFAk8m8/EACgkQXm3vHE4uylpUOwCeKPn+RnVyLB82PNxYhxlVk1B7
Kk0Anj7/2ja+Hp/861Xfz7C+ootCG0Us
=dvXX
-----END PGP SIGNATURE-----


-- 
To UNSUBSCRIBE, email to Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
with a subject of "unsubscribe". Trouble? Contact Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
Archive: http://lists.debian.org/Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.

Ispravljena dva nedostatka paketa curl

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti

Ispravljena dva nedostatka paketa curl

Tražilica portala

Aktivnosti

O CIS-u

Posljednje sigurnosne preporuke

Posljednje vijesti

Popularni članci

Posljednji dokumenti