2022-1049: cURL, libcurl: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien
Historie:
- Version 1 (2022-05-11 17:29)
- Neues Advisory
- Version 2 (2022-05-12 14:35)
- Canonical veröffentlicht für die Distributionen Ubuntu 22.04 LTS, Ubuntu 21.10, Ubuntu 20.04 LTS sowie Ubuntu 18.04 LTS ein Sicherheitsupdate für 'curl' zur Behebung der Schwachstellen CVE-2022-27780, CVE-2022-27781 und CVE-2022-27782. Für Fedora 34, 35 und 36 stehen Sicherheitsupdates in Form der Pakete 'curl-7.76.1-16.fc34', 'curl-7.79.1-4.fc35' und 'curl-7.82.0-5.fc36' im Status 'testing' bereit. Die Updates für Fedora 34 und 35 beheben die Schwachstelle CVE-2022-27782 dieses Sicherheitshinweises plus die zusätzlichen älteren Schwachstellen CVE-2022-27774, CVE-2022-27775, CVE-2022-27776 und CVE-2022-22576, die durch die jetzt obsoleten Pakete 'curl-7.76.1-15.fc34' und 'curl-7.79.1-3.fc35' bereits behoben wurden. Das Sicherheitsupdate für Fedora 36 adressiert die Schwachstellen CVE-2022-27779, CVE-2022-27780, CVE-2022-27782 und CVE-2022-30115.
Betroffene Software
Office
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.
Der Hersteller stellt die cURL Version 7.83.1 und einzelne Quellcodepatches zur Behebung der Schwachstellen zur Verfügung.
Schwachstellen:
CVE-2022-27778
Schwachstelle in curl ermöglicht u. a. Manipulation von DateienCVE-2022-27779
Schwachstelle in libcurl ermöglicht Ausspähen von InformationenCVE-2022-27780
Schwachstelle in curl ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-27781
Schwachstelle in libcurl ermöglicht Denial-of-Service-AngriffCVE-2022-27782
Schwachstelle in libcurl ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-30115
Schwachstelle in curl ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.