Bulletin d'alerte Debian

DSA-3232-1 curl -- Mise à jour de sécurité

Date du rapport :
22 avril 2015
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-3143, CVE-2015-3144, CVE-2015-3145, CVE-2015-3148.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL :

  • CVE-2015-3143

    Des connexions authentifiées par NTLM pourraient être réutilisées à tort pour des requêtes sans accréditation, aboutissant à ce que des requêtes HTTP soient envoyées sur une connexion authentifiée sous un autre identifiant. Ce problème est similaire à celui corrigé dans DSA-2849-1.

  • CVE-2015-3144

    Lors de l'analyse d'URL avec un nom d'hôte de taille nulle (tel que "http://:80"), libcurl pourrait essayer de lire à partir d'une adresse mémoire incorrecte. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage). Ce problème affecte seulement la prochaine distribution stable (Jessie) et la distribution unstable (Sid).

  • CVE-2015-3145

    Lors de l'analyse de cookies HTTP, si l'élément de chemin du cookie analysé consiste en un unique guillemet double, libcurl pourrait essayer d'écrire dans une adresse de mémoire de tas incorrecte. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage). Ce problème affecte seulement la prochaine distribution stable (Jessie) et la distribution unstable (Sid).

  • CVE-2015-3148

    Lors de l'exécution de requêtes HTTP en utilisant la méthode d'authentification négociée en parallèle à NTLM, la connexion utilisée pourrait ne pas être marquée comme authentifiée, rendant possible sa réutilisation et l'envoi de requêtes pour un utilisateur sur une connexion authentifiée sous un autre identifiant.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 7.26.0-1+wheezy13.

Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 7.38.0-4+deb8u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 7.42.0-1.

Nous vous recommandons de mettre à jour vos paquets curl.