Bulletin d'alerte Debian

DLA-586-1 curl -- Mise à jour de sécurité pour LTS

Date du rapport :
4 août 2016
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-5419, CVE-2016-5420.
Plus de précisions :
  • CVE-2016-5419

    Bru Rom a découvert que libcurl essayait de reconnecter une session TLS même si le certificat du client avait changé.

  • CVE-2016-5420

    libcurl n'examinait pas les certificats des clients quand elle réutilisait des connexions TLS.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 7.26.0-1+wheezy14.

Nous vous recommandons de mettre à jour vos paquets curl.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.