[TLP:CLEAR] Curl a libcurl opravují středně závažnou zranitelnost

Curl verzí 8.9.1 opravuje středně závažnou zranitelnost v produktech curl a libcurl [1]. Z operačních systémů vydal opravu například Debian a to pro vydání sid ve verzi 8.9.1-1 [2]. Gentoo má curl 8.9.1 k dispozici jako testing [3].

Curl - out-of-bounds read (CVE-2024-7264) CVSS 4.8 (Medium)

Neautentizovanému vzdálenému útočníkovi je umožněno způsobit pád aplikace nebo získat obsah haldy aplikace zasláním syntakticky nesprávného pole Generalized Time v ASN.1. Pro zneužití této zranitelnosti musí být curl sestaven s použitím GnuTLS, Schannel, Secure Transport nebo mbedTLS [1] [4].

Zranitelnost se nachází v produktu libcurl ve verzích (>=7.32.0) OR (<=8.9.0).

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:L

Více informací:

Zranitelnost byla veřejně oznámena 31. 7. 2024.


Publikovala Michaela Mačalíková dne 7. 8. 2024.

CESNET CERTS Logo