Bulletin d'alerte Debian

DSA-3069-1 curl -- Mise à jour de sécurité

Date du rapport :
7 novembre 2014
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-3707.
Plus de précisions :

Symeon Paraschoudis a découvert que la fonction curl_easy_duphandle() dans cURL, une bibliothèque de transfert par URL, a un bogue pouvant conduire libcurl à envoyer des informations sensibles qui ne sont pas destinées à être envoyées, lors de la réalisation d'une opération HTTP POST.

Ce bogue nécessite que CURLOPT_COPYPOSTFIELDS et curl_easy_duphandle() soient utilisées dans cet ordre et la gestion des duplicata doit être utilisée pour réaliser le POST HTTP. L'outil en ligne de commande curl n'est pas affecté par ce problème car il n'utilise pas cette séquence.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 7.26.0-1+wheezy11.

Pour la prochaine distribution stable (Jessie), ce problème sera corrigé dans la version 7.38.0-3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.38.0-3.

Nous vous recommandons de mettre à jour vos paquets curl.