2021-0653: cURL, libcurl: Zwei Schwachstellen ermöglichen u. a. einen Man-in-the-Middle-Angriff

Historie:

Version 1 (2021-03-31 13:22)

Neues Advisory

Version 2 (2021-03-31 15:45)

Canonical stellt für Ubuntu 20.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für 'curl' zur Behebung der Schwachstellen bereit.

Version 3 (2021-04-06 10:43)

Für Fedora 32 und 33 stehen Sicherheitsupdates in Form der Pakete 'curl-7.69.1-8.fc32' im Status 'testing' und 'curl-7.71.1-9.fc33' im Status 'stable' bereit, um die Schwachstellen zu beheben. Für SUSE MicroOS 5.0 und SUSE Linux Enterprise Module for Basesystem 15 SP2 sowie openSUSE Leap 15.2 stehen ebenfalls Sicherheitsupdates für 'curl' zur Verfügung.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Container

Beschreibung:

Ein Angreifer kann eine Schwachstelle als mit Zertifikat verifizierter HTTPS-Proxy im benachbarten Netzwerk ausnutzen, um in einem Man-in-the-Middle (MitM)-Angriff Informationen auszuspähen und Daten zu manipulieren. Die Ausnutzung der Schwachstelle ist auch möglich, wenn die Zertifikatsprüfung bewusst ignoriert wird. Eine weitere Schwachstelle ermöglicht einem Angreifer das Ausspähen von Informationen aus der Ferne. Beide Angriffe erfordern die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt curl 7.76.0 als Sicherheitsupdate bereit. Die Schwachstelle CVE-2021-22876 wurde mit curl 7.1.1 eingeführt, die Schwachstelle CVE-2021-22890 mit curl 7.63.0.

Schwachstellen:

CVE-2021-22876

Schwachstelle in libcurl ermöglicht Ausspähen von Informationen

CVE-2021-22890

Schwachstelle in libcurl ermöglicht Man-in-the-Middle-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.