ALT-PU-2023-5710-2

Обновление пакета curl в ветке c10f1

Версия8.3.0-alt1

Задание#329790

Опубликовано2023-09-21

Макс. серьёзностьHIGH

Серьёзность:

Закрытые проблемы (4)

MEDIUM5.5

Уязвимость функции fopen() библиотеки libcurl, связанная с ошибками управления состоянием, позволяющая нарушителю создать или перезаписать защищенные файлы

Опубликовано: 2023-08-01Изменено: 2023-10-20

CVSS 3.xСРЕДНЯЯ 5.5

CVSS:3.x/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

CVSS 2.0СРЕДНЯЯ 6.5

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:P/A:P

Ссылки

CVE-2023-32001

HIGH8.8

Уязвимость интерфейса утилиты командной строки cURL, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2023-09-19Изменено: 2026-02-13

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVSS 2.0КРИТИЧЕСКАЯ 10.0

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C

Ссылки

CVE-2023-38039

NONE

Rejected reason: We issued this CVE pre-maturely, as we have subsequently realized that this issue points out a problem that there really is no safe measures around or protections for.

Опубликовано: 2023-07-26Изменено: 2023-11-07

HIGH7.5

When curl retrieves an HTTP response, it stores the incoming headers so that they can be accessed later via the libcurl headers API. However, curl did not have a limit in how many or how large headers it would accept in a response, allowing a malicious server to stream an endless series of headers and eventually cause curl to run out of heap memory.

Опубликовано: 2023-09-15Изменено: 2025-12-02

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки