2016-1800: cURL: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen
Historie:
- Version 1 (2016-11-04 12:44)
- Neues Advisory
- Version 2 (2016-11-04 17:10)
- Für Debian Jessie (stable) steht ein Backport-Sicherheitsupdate zur Verfügung, welches die Schwachstellen CVE-2016-5420, CVE-2016-7141, CVE-2016-7167 und CVE-2016-8625 nicht adressiert.
- Version 3 (2016-11-10 18:18)
- Für openSUSE Leap 42.1 steht ein Backport-Sicherheitsupdate zur Verfügung, welches die Schwachstellen CVE-2016-5420, CVE-2016-7141 und CVE-2016-8625 nicht adressiert.
- Version 4 (2019-05-21 18:55)
- Für Oracle Linux 6 (i386, x86_64) stehen Sicherheitsupdates für 'curl' zur Verfügung, welche alle Schwachstellen außer CVE-2016-5420, CVE-2016-7141 und CVE-2016-7167 adressieren.
Betroffene Software
Office
Systemsoftware
Betroffene Plattformen
Linux
Oracle
Beschreibung:
Mehrere Schwachstellen in cURL ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen, Darstellen falscher Informationen, Umgehen von Sicherheitsvorkehrungen, die Durchführung eines Denial-of-Service (DoS)- und eines Cookie-Injection-Angriffs sowie weitere nicht näher spezifizierte Angriffe.
Der Hersteller hat cURL Version 7.51.0 als Sicherheitsupdate veröffentlicht.
Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4 und 12 SP1, Server 11 SP4, 11 SECURITY und 12 SP1, Debuginfo 11 SP4 sowie Desktop 12 SP1 stehen Sicherheitsupdates bereit, welche die Schwachstellen CVE-2016-7141, CVE-2016-5420 und CVE-2016-8625 nicht adressieren. Ebenfalls steht ein Sicherheitsupdate für SUSE Studio Onsite 1.3 bereit, welches die Schwachstellen CVE-2016-7141, CVE-2016-7167, CVE-2016-5420 und CVE-2016-8625 nicht adressiert.
Canonical stellt für die Distributionen Ubuntu 16.10, Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS Sicherheitsupdates bereit, welche die Schwachstellen CVE-2016-5420 und CVE-2016-8625 nicht adressieren. Zusätzlich informiert Canonical darüber, dass Ubuntu 12.04 LTS nicht von der Schwachstelle CVE-2016-8620 betroffen ist.
Für Fedora 24 und 25 stehen Sicherheitsupdates in Form der Pakete 'curl-7.47.1-9.fc24' und 'curl-7.51.0-1.fc25' bereit, die sich noch im Status 'pending' befinden; die Schwachstellen CVE-2016-7141, CVE-2016-7167, CVE-2016-5420 und CVE-2016-8625 werden nicht adressiert.
Schwachstellen:
CVE-2016-5420
Schwachstelle in cURL ermöglicht Umgehen von Sicherheitsvorkehrungen und Ausspähen von InformationenCVE-2016-7141
Schwachstelle in cURL ermöglicht Umgehen von Sicherheitsvorkehrungen und Ausspähen von InformationenCVE-2016-7167
Schwachstelle in libcurl ermöglicht Denial-of-Service-AngriffCVE-2016-8615
Schwachstelle in cURL ermöglicht Cookie-Injecton-AngriffCVE-2016-8616
Schwachstelle in cURL ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2016-8617
Schwachstelle in cURL ermöglicht nicht spezifizierte AngriffeCVE-2016-8618
Schwachstelle in cURL ermöglicht nicht spezifizierte AngriffeCVE-2016-8619
Schwachstelle in cURL ermöglicht nicht spezifizierte AngriffeCVE-2016-8620
Schwachstelle in cURL ermöglicht u. a. Ausspähen von InformationenCVE-2016-8621
Schwachstelle in cURL ermöglicht Ausspähen von InformationenCVE-2016-8622
Schwachstelle in cURL ermöglicht nicht spezifizierte AngriffeCVE-2016-8623
Schwachstelle in cURL ermöglicht Ausspähen von InformationenCVE-2016-8624
Schwachstelle in cURL ermöglicht Darstellen falscher InformationenCVE-2016-8625
Schwachstelle in cURL ermöglicht Darstellen falscher Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.