[Sec-cert] DFN-CERT-2013-1236 Schwachstelle in cURL [Linux][SuSE]

portal at dfn-cert.de portal at dfn-cert.de
Do Jul 4 12:49:56 CEST 2013


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Paket curl

Betroffene Plattformen:

  openSUSE 11.4
  openSUSE 12.2
  openSUSE 12.3


Eine Schwachstelle in cURL ermöglicht einem entfernten Angreifer die
Anwendung zum Absturz zu bringen.


Software Upgrade:

  Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

  <http://download.novell.com/index.jsp>


CVE-2013-2174: Schwachstelle in cURL

  In cURL kann es in der Funktion curl_easy_unescape() aufgrund von
  fehlerhaften Überprüfungen von Eingabedaten zu einem Buffer Overflow auf dem
  Heap kommen. Dies ermöglicht einem entfernten Angreifer die Anwendung,
  welche cURL verwendet zum Absturz zu bringen. Die Kommandozeilen Variante
  von cURL ist davon nicht betroffen, da sie die Funktion curl_easy_unescape()
  nicht verwendet.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2013-1236/>

Das Hersteller Advisory:
  <http://lists.opensuse.org/opensuse-updates/>

Schwachstelle CVE-2013-2174:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2174>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20130704/d68d557f/attachment-0001.p7s>


Mehr Informationen über die Mailingliste Sec-cert