2016-0158: cURL: Zwei Schwachstellen ermöglichen das Erlangen von Benutzerrechten und die Manipulation von Dateien

Historie:

Version 1 (2016-01-28 15:48)

Neues Advisory

Version 2 (2016-02-01 16:59)

Eine weitere Schwachstelle in cURL ermöglicht die Manipulation von Dateien auf Windows-Systemen. Ein Update auf cURL-Version 7.47.0 behebt auch diese Schwachstelle.

Version 3 (2016-02-05 12:24)

Für SUSE Linux Enterprise Software Development Kit 12-SP1 und 12, Server 12-SP1 und 12 sowie Desktop 12-SP1 und 12 stehen Backport-Sicherheitsupdates für cURL bereit, welche die Schwachstelle CVE-2016-0755 beheben.

Version 4 (2016-02-08 11:47)

SUSE stellt zur Behebung der Schwachstelle CVE-2016-0755 Sicherheitsupdates für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP3/SP4, Server 11 SP3/SP4, Server für VMWare 11 SP3 und Desktop 11 SP3/SP4 bereit. Fedora adressiert die Schwachstelle für Fedora 22 und Fedora 23 und stellt Sicherheitsupdates für mingw-curl in Form der Pakete mingw-curl-7.47.0-1.fc22 und mingw-curl-7.47.0-1.fc23 im Status 'testing' zur Verfügung. Für Fedora EPEL 7 steht ebenfalls ein Sicherheitsupdate für mingw-curl im Status 'testing' bereit, dieses führt allerdings zusätzlich die Schwachstelle CVE-2015-3153, die einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen ermöglicht, als behoben auf.

Version 5 (2016-02-09 12:27)

Für die Distributionen openSUSE Leap 42.1, openSUSE 13.2 und openSUSE 13.1 stehen Sicherheitsupdates bereit.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann sich durch eine Schwachstelle in der Behandlung des NTML-Verbindungspools als ein anderer Benutzer authentifizieren und somit dessen Identität annehmen.

Die Versionen 7.10.7 bis 7.46.0 der Bibliothek libcurl sind von der Schwachstelle betroffen. Der Hersteller weist darauf hin, dass libcurl von vielen Anwendungen verwendet, aber nicht immer als Teil der Anwendung erwähnt wird.

Für die Distributionen Fedora 22 und 23 stehen mit den Paketen curl-7.40.0-8.fc22 und curl-7.43.0-5.fc23 Sicherheitsupdates im Status 'pending' bereit.

Canonical stellt für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.04 und Ubuntu 15.10 Sicherheitsupdates bereit.

Debian stellt für die Distribution Jessie (stable) ein Sicherheitsupdate zur Verfügung.

Schwachstellen:

CVE-2016-0754

Schwachstelle in cURL ermöglicht Manipulation von Dateien

CVE-2016-0755

Schwachstelle in cURL ermöglicht Erlangen von Benutzerrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.