Bulletin d'alerte Debian

DLA-616-1 curl -- Mise à jour de sécurité pour LTS

Date du rapport :
9 septembre 2016
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 836918.
Dans le dictionnaire CVE du Mitre : CVE-2016-7141.
Plus de précisions :

libcurl construit sur NSS (Network Security Services) réutilisait incorrectement des certificats de clients si un certificat venant d'un fichier était utilisé pour une connexion TLS mais qu'il n'y avait pas de certificat défini pour une connexion TLS ultérieure.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 7.26.0-1+wheezy15.

Nous vous recommandons de mettre à jour vos paquets curl.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.