Kurzinfo CB-K16/0144 Update 2

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: cURL: Zwei Schwachstellen ermöglichen das Erlangen von Benutzerrechten und die Manipulation von Dateien
Datum: 05.02.2016
Software: cURL >= 7.10.7, libcurl <= 7.46.0
Plattform: SUSE Linux Enterprise Software Development Kit 12, SUSE Linux Enterprise Software Development Kit 12 SP1, Canonical Ubuntu Linux 12.04 Lts, Canonical Ubuntu Linux 14.04 Lts, Canonical Ubuntu Linux 15.04, Canonical Ubuntu Linux 15.10, Debian Linux 8.2 Jessie, Microsoft Windows , SUSE Linux Enterprise Desktop 12, SUSE Linux Enterprise Desktop 12 SP1, SUSE Linux Enterprise Server 12, SUSE Linux Enterprise Server 12 SP1, Red Hat Fedora 22, Red Hat Fedora 23
Auswirkung: Erlangen von Benutzerrechten
Remoteangriff: Ja
Risiko: mittel
CVE Liste: CVE-2016-0754, CVE-2016-0755
Bezug: Fedora Security Update FEDORA-2016-57bebab3b6 (Fedora 23)
Beschreibung

cURL ist eine Kommandozeilenanwendung, um Dateien über verschiedene Protokolle versenden zu können.

Libcurl ist eine portable Bibliothek zum Umsetzen von URLs auf verschiedene Protokolle. Die Bibliothek unterstützt eine Vielzahl von stationären wie auch mobilen Plattformen und enthält Schnittstellen zu den meisten gängigen Programmiersprachen.

Ein entfernter, nicht authentifizierter Angreifer kann sich durch eine Schwachstelle in der Behandlung des NTML-Verbindungspools als ein anderer Benutzer authentifizieren und somit dessen Identität annehmen. Die Versionen 7.10.7 bis 7.46.0 der Bibliothek libcurl sind von der Schwachstelle betroffen. Der Hersteller weist darauf hin, dass libcurl von vielen Anwendungen verwendet, aber nicht immer als Teil der Anwendung erwähnt wird. Für die Distributionen Fedora 22 und 23 stehen mit den Paketen curl-7.40.0-8.fc22 und curl-7.43.0-5.fc23 Sicherheitsupdates im Status 'pending' bereit. Canonical stellt für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.04 und Ubuntu 15.10 Sicherheitsupdates bereit. Debian stellt für die Distribution Jessie (stable) ein Sicherheitsupdate zur Verfügung. Update: Für SUSE Linux Enterprise Software Development Kit 12-SP1 und 12, Server 12-SP1 und 12 sowie Desktop 12-SP1 und 12 stehen Backport-Sicherheitsupdates für cURL bereit, welche die Schwachstelle CVE-2016-0755 beheben.

  1. Fedora Security Update FEDORA-2016-3fa315a5dd (Fedora 22)

  2. Fedora Security Update FEDORA-2016-57bebab3b6 (Fedora 23)

  3. haxx Security Advisory 20160127A

  4. Schwachstelle CVE-2016-0755 (NVD)

  5. Debian Security Advisory DSA-3455-1

  6. Ubuntu Security Notice USN-2882-1

  7. haxx Security Advisory 20160127B

  8. Schwachstelle CVE-2016-0754 (NVD)

  9. SUSE Security Update SUSE-SU-2016:0340-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.