Bulletin d'alerte Debian

DLA-84-1 curl -- Mise à jour de sécurité pour LTS

Date du rapport :
9 novembre 2014
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-3707.
Plus de précisions :

Symeon Paraschoudis a découvert que la fonction curl_easy_duphandle() dans cURL, une bibliothèque de transfert d’URL, contient un bogue pouvant conduire à ce que libcurl finisse par envoyer des données sensibles non prévues pour envoi, lors de la réalisation d’une opération POST HTTP.

Ce bogue nécessite que CURLOPT_COPYPOSTFIELDS et curl_easy_duphandle() soient utilisés dans cet ordre, et qu’ensuite le descripteur dédoublé soit utilisé pour réaliser le POST HTTP. L’outil en ligne de commande curl n’est pas concerné par ce problème, n’utilisant pas cette séquence.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 7.21.0-2.1+squeeze10 de curl.