Bulletin d'alerte Debian

DSA-2849-1 curl -- Divulgation d'informations

Date du rapport :
31 janvier 2014
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-0015.
Plus de précisions :

Paras Sethia a découvert que libcurl, une bibliothèque de transfert par URL côté client, mélange parfois plusieurs connexions HTTP et HTTPS avec authentification NTLM au même serveur, et envoie des requêtes pour un utilisateur sur la connexion authentifiée sous un autre identifiant.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 7.21.0-2.1+squeeze7.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 7.26.0-1+wheezy8.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.35.0-1.

Nous vous recommandons de mettre à jour vos paquets curl.