Sicherheits-Update für Dateitransfertool cURL

Das Update behebt eine Schwachstelle, durch die ein Angreifer Einblick in Dateien auf dem System erhalten oder diese sogar überschreiben kann.

In Pocket speichern vorlesen Druckansicht 19 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Ein Sicherheits-Update für das Dateitransfer-Tool cURL (Client for URL) und die dazugehörige Bibliothek libcurl behebt eine Schwachstelle, durch die ein Angreifer Einblick in Dateien auf dem System erhalten oder diese sogar überschreiben kann. Ursache ist die automatische Redirect-Funktion von cURL, womit ein präparierter Server von einer http://- auf eine file://-URL umleiten kann. Nach Angaben der Entwickler soll es so möglich sein, dass ein System Dateien an andere Systeme oder Anwendungen sendet. Sofern libcurl mit SCP-Unterstützung übersetzt wurde, sollen sich sogar Befehle auf einem verwundbaren System ausführen lassen.

Betroffen sind cURL und libcurl ab Version 5.11 sowie 7.19.3. In den cURL-Versionen vor 5.10 ist der Fehler nicht zu finden, ab Version 7.19.4 das Problem behoben. Die Entwickler haben Patches zur Verfügung gestellt.

Siehe dazu auch:

(dab)