LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-64-1 curl

Bulletin d'alerte Debian

DLA-64-1 curl -- Mise à jour de sécurité pour LTS

Date du rapport :

26 septembre 2014

Paquets concernés :

curl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-3613.

Plus de précisions :

CVE-2014-3613

En ne détectant ni ne rejetant correctement des noms de domaine pour des adresses IP littérales et partielles lors de l’analyse de cookies HTTP reçus, libcurl peut être trompé pour envoyer des cookies à de mauvais sites, ainsi que pour permettre à des sites arbitraires de définir des cookies pour d’autres.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 7.21.0-2.1+squeeze9 de curl.