Bulletin d'alerte Debian

DSA-2713-1 curl -- Dépassement de zone de mémoire du système

Date du rapport :
24 juin 2013
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-2174.
Plus de précisions :

Timo Sirainen a découvert que cURL, une bibliothèque de transfert par URL, est prédisposée à une vulnérabilité de dépassement de tas à cause d’une mauvaise vérification des données d’entrée dans la fonction curl_easy_unescape.

L’outil curl en ligne de commande n’est pas concerné par ce problème car il n’utilise pas la fonction curl_easy_unescape.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 7.21.0-2.1+squeeze4.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 7.26.0-1+wheezy3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.31.0-1.

Nous vous recommandons de mettre à jour vos paquets curl.