Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2018-1000120

Опубликовано: 14 мар. 2018
Источник: redhat
CVSS3: 5.4

Описание

A buffer overflow exists in curl 7.12.3 to and including curl 7.58.0 in the FTP URL handling that allows an attacker to cause a denial of service or worse.

It was found that libcurl did not safely parse FTP URLs when using the CURLOPT_FTP_FILEMETHOD method. An attacker, able to provide a specially crafted FTP URL to an application using libcurl, could write a NULL byte at an arbitrary location, resulting in a crash or an unspecified behavior.

Меры по смягчению последствий

Preventing application from using non-default CURLOPT_FTP_FILEMETHOD will avoid triggering the vulnerable code.

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
.NET Core 1.0 on Red Hat Enterprise Linuxrh-dotnetcore10-curlOut of support scope
.NET Core 1.1 on Red Hat Enterprise Linuxrh-dotnetcore11-curlOut of support scope
.NET Core 2.0 on Red Hat Enterprise Linuxrh-dotnet20-curlOut of support scope
.NET Core 2.1 on Red Hat Enterprise Linuxrh-dotnet21-curlWill not fix
Red Hat Ceph Storage 2curlWill not fix
Red Hat Enterprise Linux 5curlWill not fix
Red Hat Enterprise Linux 6curlWill not fix
Red Hat Enterprise Linux 8curlNot affected
JBoss Core Services Apache HTTP Server 2.4.29 SP2jbcs-httpd24-curlFixedRHSA-2019:154318.06.2019
Red Hat Enterprise Linux 7curlFixedRHSA-2018:315730.10.2018

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
Дефект:
CWE-787
https://bugzilla.redhat.com/show_bug.cgi?id=1552628curl: FTP path trickery leads to NIL byte out of bounds write

5.4 Medium

CVSS3

Связанные уязвимости

ubuntu логотип

CVE-2018-1000120

CVSS3: 9.8
ubuntu
больше 7 лет назад

A buffer overflow exists in curl 7.12.3 to and including curl 7.58.0 in the FTP URL handling that allows an attacker to cause a denial of service or worse.

nvd логотип

CVE-2018-1000120

CVSS3: 9.8
nvd
больше 7 лет назад

A buffer overflow exists in curl 7.12.3 to and including curl 7.58.0 in the FTP URL handling that allows an attacker to cause a denial of service or worse.

debian логотип

CVE-2018-1000120

CVSS3: 9.8
debian
больше 7 лет назад

A buffer overflow exists in curl 7.12.3 to and including curl 7.58.0 i ...

github логотип

GHSA-674j-7m97-j2p9

CVSS3: 9.8
github
больше 3 лет назад

curl FTP path confusion leads to NIL byte out of bounds write

fstec логотип

BDU:2019-04402

CVSS3: 9.8
fstec
почти 8 лет назад

Уязвимость программного средства для взаимодействия с серверами curl, связанная с записью данных за границами буфера, позволяющая нарушителю вызвать отказ в обслуживании

5.4 Medium

CVSS3