Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 6 (12.12.2014):
Für die Distributionen Fedora 19, Fedora 20 und Fedora 21 werden neue
Sicherheitsupdates im Status ‘testing’ zur Verfügung gestellt in Form der
Pakete curl-7.29.0-27.fc19, curl-7.32.0-17.fc20 bzw. curl-7.37.0-11.fc21.
Die zuvor bereitgestellten Sicherheitsupdates FEDORA-2014-14359 und
FEDORA-2014-15743 (für Fedora 19) wurden in den Status ‘obsolet’ gesetzt.
Version 5 (25.11.2014):
Für Fedora 19 wird die Schwachstelle durch die Bereitstellung des Paketes
curl-7.29.0-26.fc19, für Fedora 20 durch curl-7.32.0-16.fc20 behoben,
welche sich im Status ‘testing’ befinden.
Version 4 (10.11.2014):
Für Ubuntu 14.10, Ubuntu 14.04 LTS, Ubuntu 12.04 LTS und Ubuntu 10.04 LTS
werden von Canonical Sicherheitsupdates bereitgestellt.
Version 3 (10.11.2014):
Für die Distribution Debian Wheezy steht ein Sicherheitsupdate zur
Verfügung und für Debian Jessie wurde eines angekündigt.
Version 2 (07.11.2014):
Für Fedora 19 und Fedora 20 stehen die Pakete ‘curl-7.29.0-25.fc19’ bzw.
‘curl-7.32.0-15.fc20’ zur Behebung der Schwachstelle zur Verfügung.
Version 1 (06.11.2014):
Neues Advisory
Betroffene Software:
cURL >= 7.17.1
cURL <= 7.29.0
cURL <= 7.32.0
cURL <= 7.38.0
Betroffene Plattformen:
Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Debian Linux 7.7 Wheezy
Debian Linux 8.0 Jessie
Red Hat Fedora 19
Red Hat Fedora 20
Red Hat Fedora 21
Durch Ausnutzen dieser Schwachstelle kann ein entfernter, nicht
authentisierter Angreifer sensible Daten ausspähen, die ihm darüber hinaus
einen Denial-of-Service (DoS)-Angriff ermöglichen. Eine Ausnutzung der
Schwachstelle ist bisher zwar nicht bekannt, kann aber nicht ausgeschlossen
werden. Die Schwachstelle betrifft alle Versionen von cURL von 7.17.1 bis
einschließlich 7.38.0 und wurde in Version 7.39.0 behoben. Für Fedora 21
wird die Schwachstelle durch die Bereitstellung des Paketes
curl-7.37.0-9.fc21 behoben, welches sich im Status 'testing' befindet.
Patch:
Fedora Security Update FEDORA-2014-14338
https://admin.fedoraproject.org/updates/FEDORA-2014-14338/curl-7.37.0-9.fc21
Patch:
cURL Project Security Advisory adv_20141105
http://curl.haxx.se/docs/adv_20141105.html
Patch:
Fedora Security Update FEDORA-2014-14354
https://admin.fedoraproject.org/updates/FEDORA-2014-14354/curl-7.32.0-15.fc20
Patch:
Debian Security Advisory DSA-3069-1
https://www.debian.org/security/2014/dsa-3069
Patch:
Ubuntu Security Notice USN-2399-1
http://www.ubuntu.com/usn/usn-2399-1/
Patch:
Fedora Security Update FEDORA-2014-15706
https://admin.fedoraproject.org/updates/FEDORA-2014-15706/curl-7.32.0-16.fc20
Patch:
Fedora Security Update FEDORA-2014-16538
https://admin.fedoraproject.org/updates/FEDORA-2014-16538/curl-7.32.0-17.fc20
Patch:
Fedora Security Update FEDORA-2014-16605
https://admin.fedoraproject.org/updates/FEDORA-2014-16605/curl-7.37.0-11.fc21
Patch:
Fedora Security Update FEDORA-2014-16690
https://admin.fedoraproject.org/updates/FEDORA-2014-16690/curl-7.29.0-27.fc19
CVE-2014-3707: Schwachstelle in cURL erlaubt Ausspähen von Informationen
Eine Schwachstelle in cURL besteht darin, dass die Funktion
“curl_easy_duphandle()” in libcurl bei einem HTTP-POST-Transfer unter
bestimmten Umständen sensible Daten zurücksendet. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, mittels eines
HTTP-POST-Requests, um sensible Daten aus solchen Speicherbereichen
auszulesen, auf die er keinen Zugriff haben sollte, oder auch Daten auf
diesem Wege in einen HTTP-POST-Request einzuschleusen, wodurch weitere
Angriffe möglich werden, z. B. das Herbeiführen eines partiellen
Denial-of-Service (DoS)-Zustandes.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1452/
Fedora Security Update FEDORA-2014-14338:
https://admin.fedoraproject.org/updates/FEDORA-2014-14338/curl-7.37.0-9.fc21
cURL Project Security Advisory adv_20141105:
http://curl.haxx.se/docs/adv_20141105.html
Schwachstelle CVE-2014-3707 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3707
Fedora Security Update FEDORA-2014-14354:
https://admin.fedoraproject.org/updates/FEDORA-2014-14354/curl-7.32.0-15.fc20
Debian Security Advisory DSA-3069-1:
https://www.debian.org/security/2014/dsa-3069
Ubuntu Security Notice USN-2399-1:
http://www.ubuntu.com/usn/usn-2399-1/
Fedora Security Update FEDORA-2014-15706:
https://admin.fedoraproject.org/updates/FEDORA-2014-15706/curl-7.32.0-16.fc20
Fedora Security Update FEDORA-2014-16538:
https://admin.fedoraproject.org/updates/FEDORA-2014-16538/curl-7.32.0-17.fc20
Fedora Security Update FEDORA-2014-16605:
https://admin.fedoraproject.org/updates/FEDORA-2014-16605/curl-7.37.0-11.fc21
Fedora Security Update FEDORA-2014-16690:
https://admin.fedoraproject.org/updates/FEDORA-2014-16690/curl-7.29.0-27.fc19
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
