Zwei Buffer-Overflows in cURL
Die Firma iDefense meldet zwei Buffer Overflows in dem Unix-Kommandozeilen-Tool cURL.
Die Firma iDefense [1] meldet zwei Buffer Overflows in dem Unix-Kommandozeilen-Tool cURL [2]. Mit cURL kann man über eine Vielzahl von Protokollen Dateien herunterladen, darunter FTP, FTPS, HTTP, HTTPS, Gopher, Telnet und LDAP. Sowohl das Programm selbst als auch die Bibliothek libcurl sind gegen überlange Antworten bei der Authentifizierung an einem bösartigen NTLM- beziehungsweise Kerberos-Server nicht abgesichert.
iDefense will die Entwickler nach eigenen Aussagen mehrfach benachrichtigt, aber keine Antwort erhalten haben, bevor sie mit dem Sachverhalt an die Öffentlichkeit gegangen sind. Die Entwickler hingegen behaupten [3], sie seien vor der Veröffentlichung nicht informiert worden und stellen zunächst nur einen vorläufigen Fix [4] auf ihrer Webseite bereit.
Siehe dazu auch: (ju [5])
- Security Advisory zu NTLM [6] von iDefense
- Security Advisory zu Kerberos [7] von iDefense
URL dieses Artikels:
https://www.heise.de/-137266
Links in diesem Artikel:
[1] http://www.idefense.com/
[2] http://curl.haxx.se/
[3] http://curl.haxx.se/news.html
[4] http://cool.haxx.se/cvs.cgi/curl/lib/http_ntlm.c.diff?r1=1.36&r2=1.37
[5] mailto:ju@ct.de
[6] http://www.idefense.com/application/poi/display?id=202&type=vulnerabilities&flashstatus=false
[7] http://www.idefense.com/application/poi/display?id=203&type=vulnerabilities
Copyright © 2005 Heise Medien