Bulletin d'alerte Debian

DLA-1568-1 curl -- Mise à jour de sécurité pour LTS

Date du rapport :
6 novembre 2018
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 848958, Bogue 837945, Bogue 836918.
Dans le dictionnaire CVE du Mitre : CVE-2016-7141, CVE-2016-7167, CVE-2016-9586, CVE-2018-16839, CVE-2018-16842.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert d’URL.

  • CVE-2016-7141

    Lorsque construite avec NSS et que la bibliothèque libnsspem.so est disponible au moment de l’exécution, cela permet à un attaquant distant de détourner l’authentification d’une connexion TLS en exploitant la réutilisation d’un certificat de client précédemment chargé à partir d’un fichier pour une connexion n’ayant aucun certificat de défini, une vulnérabilité différente de CVE-2016-5420.

  • CVE-2016-7167

    Plusieurs dépassement d'entiers dans les fonctions (1) curl_escape, (2) curl_easy_escape, (3) curl_unescape et (4) curl_easy_unescape dans libcurl permettent à des attaquants d’avoir un impact non précisé à l'aide d'un chaîne de longueur 0xffffffff, déclenchant un dépassement de tampon basé sur le tas.

  • CVE-2016-9586

    Curl est vulnérable à un dépassement de tampon lorsque produisant une grande sortie à virgule flottante dans l’implémentation des fonctions printf() de libcurl. S’il existe une application qui accepte une chaîne de formatage de l’extérieur sans filtrage nécessaire d’entrée, cela pourrait permettre des attaques distantes.

  • CVE-2018-16839

    Curl est vulnérable à un dépassement de tampon dans le code d'authentification SASL qui pourrait conduire à un déni de service.

  • CVE-2018-16842

    Curl est vulnérable à une lecture hors limites de tampon basé sur le tas dans la fonction tool_msgs.c:voutf() qui pourrait aboutir à une exposition d’informations et un déni de service.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 7.38.0-4+deb8u13.

Nous vous recommandons de mettre à jour vos paquets curl.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.