Bulletin d'alerte Debian

DLA-211-1 curl -- Mise à jour de sécurité pour LTS

Date du rapport :
29 avril 2015
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-3143, CVE-2015-3148.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL :

  • CVE-2015-3143

    Des connexions authentifiées par NTLM pourraient être réutilisées à tort pour des requêtes sans accréditation, aboutissant à ce que des requêtes HTTP soient envoyées sur une connexion authentifiée sous un autre identifiant. Ce problème est similaire à celui corrigé dans DSA-2849-1.

  • CVE-2015-3148

    Lors de l'exécution de requêtes HTTP en utilisant la méthode d'authentification « négociée » en parallèle à NTLM, la connexion utilisée pourrait ne pas être marquée comme authentifiée, rendant possible sa réutilisation et l'envoi de requêtes pour un utilisateur sur une connexion authentifiée sous un autre identifiant.