Kurzinfo CB-K16/0144 Update 1

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: cURL: Zwei Schwachstellen ermöglichen das Erlangen von Benutzerrechten und die Manipulation von Dateien
Datum: 01.02.2016
Software: cURL >= 7.10.7, libcurl <= 7.46.0
Plattform: Canonical Ubuntu Linux 12.04 Lts, Canonical Ubuntu Linux 14.04 Lts, Canonical Ubuntu Linux 15.04, Canonical Ubuntu Linux 15.10, Debian Linux 8.2 Jessie, Microsoft Windows , Red Hat Fedora 22, Red Hat Fedora 23
Auswirkung: Erlangen von Benutzerrechten
Remoteangriff: Ja
Risiko: mittel
CVE Liste: CVE-2016-0754, CVE-2016-0755
Bezug: Fedora Security Update FEDORA-2016-57bebab3b6 (Fedora 23)
Beschreibung

cURL ist eine Kommandozeilenanwendung, um Dateien über verschiedene Protokolle versenden zu können.

Libcurl ist eine portable Bibliothek zum Umsetzen von URLs auf verschiedene Protokolle. Die Bibliothek unterstützt eine Vielzahl von stationären wie auch mobilen Plattformen und enthält Schnittstellen zu den meisten gängigen Programmiersprachen.

Ein entfernter, nicht authentifizierter Angreifer kann sich durch eine Schwachstelle in der Behandlung des NTML-Verbindungspools als ein anderer Benutzer authentifizieren und somit dessen Identität annehmen. Die Versionen 7.10.7 bis 7.46.0 der Bibliothek libcurl sind von der Schwachstelle betroffen. Der Hersteller weist darauf hin, dass libcurl von vielen Anwendungen verwendet, aber nicht immer als Teil der Anwendung erwähnt wird. Für die Distributionen Fedora 22 und 23 stehen mit den Paketen curl-7.40.0-8.fc22 und curl-7.43.0-5.fc23 Sicherheitsupdates im Status 'pending' bereit. Canonical stellt für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.04 und Ubuntu 15.10 Sicherheitsupdates bereit. Debian stellt für die Distribution Jessie (stable) ein Sicherheitsupdate zur Verfügung. Update: Eine weitere Schwachstelle in cURL ermöglicht die Manipulation von Dateien auf Windows-Systemen. Ein Update auf cURL-Version 7.47.0 behebt auch diese Schwachstelle.

  1. Fedora Security Update FEDORA-2016-3fa315a5dd (Fedora 22)

  2. Fedora Security Update FEDORA-2016-57bebab3b6 (Fedora 23)

  3. haxx Security Advisory 20160127A

  4. Schwachstelle CVE-2016-0755 (NVD)

  5. Debian Security Advisory DSA-3455-1

  6. Ubuntu Security Notice USN-2882-1

  7. haxx Security Advisory 20160127B

  8. Schwachstelle CVE-2016-0754 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.