Bundesamt für Sicherheit in der Informationstechnik

CB-K17/1009

Risikostufe 3

Titel:cURL, libcurl: Eine Schwachstelle ermöglicht das Ausführen beliebigen ProgrammcodesDatum:19.06.2017Software:cURL < 7.54.1, libcurl < 7.54.1Plattform:Red Hat Fedora 26Auswirkung:Ausführen beliebigen Programmcodes mit den Rechten des DienstesRemoteangriff:NeinRisiko:mittelCVE Liste:CVE-2017-9502Bezug: Fedora Security Update FEDORA-2017-03fc914348 (Fedora 26, mingw-curl-7.54.1-1)

Beschreibung

cURL ist eine Kommandozeilenanwendung, um Dateien über verschiedene Protokolle versenden zu können.

Libcurl ist eine portable Bibliothek zum Umsetzen von URLs auf verschiedene Protokolle. Die Bibliothek unterstützt eine Vielzahl von stationären wie auch mobilen Plattformen und enthält Schnittstellen zu den meisten gängigen Programmiersprachen.

Ein lokaler, einfach authentisierter Angreifer kann eine Schwachstelle in dem MinGW Windows Port von cURL / libcurl, der MinGW 'cross-compiled' Windows-Bibliothek ausnutzen, um beliebigen Programmcode bis zu einer Länge von 7 Bytes zur Ausführung zu bringen. Projetc curl informiert in einem Sicherheitshinweis über die Schwachstelle in libcurl und dem curl Kommandozeilentool in den Versionen 7.53.0 bis inklusive 7.54.0 und stellt Version 7.54.1 und einen Patch als Sicherheitsupdate zur Verfügung. Für Fedora 26 steht ein Sicherheitsupdate in Form des Paketes 'mingw-curl-7.54.1-1.fc26' im Status 'testing' bereit, um die Schwachstelle zu beheben.