Bulletin d'alerte Debian

DLA-2773-1 curl -- Mise à jour de sécurité pour LTS

Date du rapport :
30 septembre 2021
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-22946, CVE-2021-22947.
Plus de précisions :

Deux problèmes ont été découverts dans curl, un outil en ligne de commande et une bibliothèque côté client d’utilisation facile, pour transférer des données avec une syntaxe d’URL.

  • CVE-2021-22946

    Des réponses contrefaites du serveur pourraient obliger des clients à ne pas utiliser TLS sur des connexions bien que TLS soit requis et attendu.

  • CVE-2021-22947

    Lors de l’utilisation de STARTTLS pour initialiser une connexion TLS, le serveur pourrait envoyer plusieurs réponses avant la mise à niveau de TLS de façon que le client les gère comme des réponses fiables. Cela pourrait être utilisé par un attaquant de type homme du milieu pour injecter des données de réponse contrefaites.

    Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans la version 7.52.1-5+deb9u16.

    Nous vous recommandons de mettre à jour vos paquets curl.

    Pour disposer d'un état détaillé sur la sécurité de curl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/curl.

    Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.