Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (12.05.2015):
Für openSUSE 13.1 und 13.2 werden Sicherheitsupdates von curl und libcurl
in der Version 7.42.1 bereitgestellt.
Version 1 (30.04.2015):
Neues Advisory

Betroffene Software:

cURL <= 7.42.0 libcurl <= 7.42.0 Betroffene Plattformen: Debian Linux 8.0 Jessie openSUSE 13.1 openSUSE 13.2 Eine Schwachstelle in cURL ermöglicht einem entfernten, nicht authentifizierten Angreifer Informationen auszuspähen. Für die stabile Distribution Debian Jessie (8.0) wird ein Sicherheitsupdate zur Verfügung gestellt. Patch: Debian Security Advisory DSA-3240-1 https://www.debian.org/security/2015/dsa-3240

Patch:

openSUSE Security Update openSUSE-SU-2015:0861-1

http://lists.opensuse.org/opensuse-updates/2015-05/msg00017.html

CVE-2015-3153: Schwachstelle in cURL ermöglicht Ausspähen von Informationen

Eine Schwachstelle in cURL bei der Verwendung von Proxy-Servern und
HTTPS-Verbindungen führt in der Standard-Konfiguration dazu, dass derselbe
HTTP-Header sowohl zum Proxy-Server wie auch zum Ziel-Server gesendet wird.
Dadurch können sensitive Informationen an den Proxy-Server gelangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0630/

Debian Security Advisory DSA-3240-1:
https://www.debian.org/security/2015/dsa-3240

Schwachstelle CVE-2015-3153 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3153

openSUSE Security Update openSUSE-SU-2015:0861-1:
http://lists.opensuse.org/opensuse-updates/2015-05/msg00017.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.