2018-0492: cURL: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2018-03-14 19:08)

Neues Advisory

Version 2 (2018-03-15 16:01)

Debian stellt für die alte stabile Distribution (Jessie) und die aktuelle stabile Distribution (Stretch) Backport-Sicherheitsupdates für 'curl' zur Verfügung.

Version 3 (2018-03-15 17:15)

Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS verschiedene Backport-Sicherheitsupdates für 'curl' bereit, um diese Schwachstellen zu beheben.

Version 4 (2018-03-26 12:35)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'curl' bereit, mit dem die Schwachstellen behoben werden.

Version 5 (2018-05-17 17:34)

Für SUSE Linux Enterprise Software Development Kit 11 SP4, Debuginfo 11 SP4 und 11 SP3, Server 11 SP4, 11 SP3 LTSS sowie 11 SECURITY stehen Sicherheitsupdates für cURL auf Version 7.37.0 bereit. Neben den drei Schwachstellen werden sieben, nicht sicherheitsrelevante Fehler behoben.

Version 6 (2018-05-25 12:02)

Canonical stellt jetzt auch für Ubuntu 12.04 ESM ein Sicherheitsupdate für cURL bereit, welches die hier referenzierten Schwachstellen adressiert. Zusätzlich wird mittels des Sicherheitsupdates die Schwachstelle CVE-2018-1000301 behoben, die einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs und das Ausspähen von Informationen ermöglicht.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen in cURL zur Durchführung verschiedener Denial-of-Service (DoS)-Angriffe ausnutzen.

Der Hersteller stellt die cURL Version 7.59.0 zur Behebung der Schwachstellen zur Verfügung.

Für Fedora 26 und 27 stehen Backport-Sicherheitsupdates in Form der Pakete 'curl-7.53.1-16.fc26' und 'curl-7.55.1-10.fc27' bereit, welche sich derzeit noch im Status 'pending' befinden.

Schwachstellen:

CVE-2018-1000120

Schwachstelle in cURL ermöglicht Denial-of-Service-Angriff

CVE-2018-1000121

Schwachstelle in cURL ermöglicht Denial-of-Service-Angriff

CVE-2018-1000122

Schwachstelle in cURL ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.