DFN-CERT

Advisory-Archiv

2022-0935: cURL, libcurl: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2022-04-27 16:39)
Neues Advisory
Version 2 (2022-04-29 09:30)
Canonical stellt für Ubuntu 22.04 LTS, Ubuntu 21.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'curl' bereit, um die referenzierten Schwachstellen zu beheben. Für Fedora 34 und 35 stehen Sicherheitsupdates in Form der Pakete 'curl-7.76.1-13.fc34' und 'curl-7.79.1-2.fc35' im Status 'testing' zur Verfügung.
Version 3 (2022-05-02 11:04)
Für Fedora 34 wurde das Paket 'curl-7.76.1-13.fc34' ohne Angabe von Gründen ersetzt durch 'curl-7.76.1-14.fc34'. Der Paketstatus ist erneut 'testing'.
Version 4 (2022-05-04 09:49)
Für Fedora 34 und 35 wurden das Paket 'curl-7.76.1-14.fc34' ohne Angabe von Gründen durch 'curl-7.76.1-15.fc34' und das Paket 'curl-7.79.1-2.fc35' durch 'curl-7.79.1-3.fc35' ersetzt. Die Paketstatus sind erneut 'testing'.
Version 5 (2022-05-12 14:41)
Die Pakete 'curl-7.76.1-15.fc34' und 'curl-7.79.1-3.fc35' sind in den Paketstatus 'obsolete' übergangen, da sie durch die Pakete 'curl-7.76.1-16.fc34' und 'curl-7.79.1-4.fc35' im Status 'testing' ersetzt wurden. Die Referenzen wurden daher hier auch entfernt. Die beiden neuen Pakete adressieren eine weitere Schwachstelle CVE-2022-27782, über die ein anderer Sicherheitshinweis informiert.
Version 6 (2022-05-16 11:28)
Für SUSE Linux Enterprise Desktop, High Performance Computing, Module for Basesystem, Server und Server for SAP Applications jeweils in Version 15 SP3, SUSE Linux Enterprise Micro 5.1 und 5.2, SUSE Manager Proxy 4.2, SUSE Manager Server 4.2 sowie openSUSE Leap 15.3 stehen Sicherheitsupdates für 'curl' bereit, um die Schwachstellen CVE-2022-22576, CVE-2022-27775 und CVE-2022-27776 zu beheben.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX
Container

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und Sicherheitsvorkehrungen zu umgehen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller stellt die cURL Version 7.83.0 und einzelne Quellcodepatches zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2022-22576

Schwachstelle in libcurl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-27774

Schwachstelle in curl ermöglicht Ausspähen von Informationen

CVE-2022-27775

Schwachstelle in libcurl ermöglicht Ausspähen von Informationen

CVE-2022-27776

Schwachstelle in curl ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.