DFN-CERT

Advisory-Archiv

2018-1796: cURL: Eine Schwachstelle ermöglicht u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2018-09-05 16:49)
Neues Advisory
Version 2 (2018-09-06 12:01)
Für Debian Stretch (stable) steht ein Backport-Sicherheitsupdate zur Behebung der Schwachstelle bereit. Für Fedora 27 und 28 stehen weitere Backport-Sicherheitsupdates in Form der Pakete 'curl-7.55.1-14.fc27' und 'curl-7.59.0-7.fc28' im Status 'testing' bereit.
Version 3 (2018-09-10 11:26)
Für Debian Jessie (LTS) steht ein Backport-Sicherheitsupdate zur Behebung der Schwachstelle bereit.
Version 4 (2018-09-17 11:48)
Für die Distributionen openSUSE Leap 15.0 und openSUSE Leap 42.3 stehen Sicherheitsupdates zur Behebung der Schwachstelle bereit. SUSE veröffentlicht cURL-Sicherheitsupdates für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4 und 12 SP3, Server 11 SP4, 11 SECURITY und 12 SP3, Debuginfo 11 SP4 und Desktop 12 SP3, das SUSE Linux Enterprise Module for Basesystem 15 sowie OpenStack Cloud Magnum Orchestration 7, SUSE CaaS Platform ALL und 3.0.
Version 5 (2018-09-17 12:59)
In der vorherigen Veröffentlichung dieses Advisories wurde fälschlicherweise die Plattform 'SUSE OpenStack Cloud 7' in der Produktliste aufgeführt, dies wurde jetzt auf 'OpenStack Magnum 7' korrigiert. Zusätzlich stellt Canonical für Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für cURL bereit.
Version 6 (2018-09-17 13:55)
Canonical stellt für Ubuntu 12.04 LTS (ESM) ebenfalls ein Sicherheitsupdate bereit, mit dem die Schwachstelle behoben wird.
Version 7 (2019-07-30 14:21)
Für Red Hat Enterprise Linux 7 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'curl' bereit. Das Update steht damit unter anderem für Red Hat Enterprise Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS 7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node 7.6 sowie RHEL for ARM 64 7 zur Verfügung.
Version 8 (2019-07-31 11:42)
Für Oracle Linux 7 steht ebenfalls ein Sicherheitsupdate zur Behebung der Schwachstelle bereit. Im zugehörigen Changelog werden weitere Schwachstellen erwähnt, die bereits mit früheren Updates für 'curl' adressiert wurden.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Cloud
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann einen Denial-of-Service (DoS)-Angriff und möglicherweise weitere Angriffe durchführen.

Der Hersteller stellt die cURL Version 7.61.1 zur Behebung der Schwachstelle zur Verfügung.

Schwachstellen:

CVE-2018-14618

Schwachstelle in cURL ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.