Zwei Buffer-Overflows in cURL

Die Firma iDefense meldet zwei Buffer Overflows in dem Unix-Kommandozeilen-Tool cURL.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 1 Min.

Die Firma iDefense meldet zwei Buffer Overflows in dem Unix-Kommandozeilen-Tool cURL. Mit cURL kann man über eine Vielzahl von Protokollen Dateien herunterladen, darunter FTP, FTPS, HTTP, HTTPS, Gopher, Telnet und LDAP. Sowohl das Programm selbst als auch die Bibliothek libcurl sind gegen überlange Antworten bei der Authentifizierung an einem bösartigen NTLM- beziehungsweise Kerberos-Server nicht abgesichert.

iDefense will die Entwickler nach eigenen Aussagen mehrfach benachrichtigt, aber keine Antwort erhalten haben, bevor sie mit dem Sachverhalt an die Öffentlichkeit gegangen sind. Die Entwickler hingegen behaupten, sie seien vor der Veröffentlichung nicht informiert worden und stellen zunächst nur einen vorläufigen Fix auf ihrer Webseite bereit.

Siehe dazu auch: (ju)