Bulletin d'alerte Debian

DLA-134-1 curl -- Mise à jour de sécurité pour LTS

Date du rapport :
15 janvier 2015
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-8150.
Plus de précisions :

Andrey Labunets de Facebook a découvert que cURL, une bibliothèque de transfert par URL, échouait à traiter correctement les URL avec des caractères de fin de ligne incorporés. Un attaquant capable de faire qu'une application utilisant libcurl accède à une URL contrefaite pour l'occasion à l'aide d'un mandataire (« proxy ») HTTP pourrait utiliser ce défaut pour adresser des requêtes supplémentaires d'une manière non prévue, ou insérer des en-têtes de requêtes supplémentaires dans la requête.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans curl version 7.21.0-2.1+squeeze11