2018-0173: cURL: Zwei Schwachstellen ermöglichen u.a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2018-01-24 17:19)

Neues Advisory

Version 2 (2018-01-26 17:14)

Debian stellt für die Distributionen Jessie (oldstable) und Stretch (stable) Backport-Sicherheitsupdates zur Behebung der Schwachstellen bereit. Die alte stabile Distribution ist nicht von der Schwachstelle CVE-2018-1000005 betroffen.

Version 3 (2018-02-01 10:57)

Canonical stellt für Ubuntu Linux 17.10, 16.04 LTS, 14.04 LTS und 12.04 LTS (ESM) Sicherheitsupdates für 'curl' zur Verfügung, um die Schwachstelle CVE-2018-1000007 zu beheben. In den Referenzen der Sicherheitsmeldung USN-3554-1 (Ubuntu 17.10, 16.04 LTS, 14.04 LTS) wird zusätzlich CVE-2018-1000005 erwähnt.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in cURL ermöglichen einem entfernten, nicht authentisierten Angreifer unter Umständen die Durchführung eines Denial-of-Service (DoS)-Angriffes und das Ausspähen von zum Teil sensiblen Informationen.

Der Hersteller stellt Patches und libcurl Version 7.58 zur Behebung der Schwachstellen zur Verfügung.

Für Fedora 26 und 27 stehen Backport-Sicherheitsupdates in Form der Pakete 'curl-7.53.1-14.fc26' und 'curl-7.55.1-9.fc27' bereit, welche sich derzeit noch im Status 'pending' befinden.

Schwachstellen:

CVE-2018-1000005

Schwachstelle in cURL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-1000007

Schwachstelle in cURL ermöglicht u. a. Ausspähen sensibler Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.