LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2023 / Informations sur la sécurité -- DLA-3398-1 curl

Bulletin d'alerte Debian

DLA-3398-1 curl -- Mise à jour de sécurité pour LTS

Date du rapport :

21 avril 2023

Paquets concernés :

curl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2023-27533, CVE-2023-27535, CVE-2023-27536, CVE-2023-27538.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans cURL, une bibliothèque de transfert d’URL, coté client et facile à utiliser.

• CVE-2023-27533

  Une vulnérabilité dans la validation d’entrée existait dans curl lors de communications utilisant le protocole TELNET et pouvait permettre à un attaquant de passer un nom d’utilisateur contrefait de manière malveillante et telnet options lors de la négociation de serveur. L’absence de nettoyage correct d’entrée permettait à un attaquant d’envoyer du contenu ou de réaliser une option de négociation sans intention de l’application. Cette vulnérabilité pouvait être exploitée si une application permettait une entrée d’utilisateur, autorisant par là même à des attaquants d’exécuter du code arbitraire sur le système.

• CVE-2023-27535

  Une vulnérabilité de contournement d’authentification existait dans libcurl dans la fonction de réutilisation de connexion FTP, qui pouvait aboutir dans l’utilisation de mauvaises accréditations lors de transferts subséquents. Les connexions créées précédemment sont conservées dans un réservoir de connexions pour une réutilisation si elles correspondent à la configuration en cours. Cependant, certains réglages FTP tels que CURLOPT_FTP_ACCOUNT, CURLOPT_FTP_ALTERNATIVE_TO_USER, CURLOPT_FTP_SSL_CCC et CURLOPT_USE_SSL n’étaient pas inclus dans les vérifications de correspondance de configuration, faisant qu’elles correspondaient trop facilement. Cela pouvait conduire à ce que libcurl utilise les mauvaises accréditations lors de la réalisation d’un transfert, potentiellement permettant un accès non autorisé à des informations sensibles.

• CVE-2023-27536

  Une vulnérabilité de contournement d’authentification existait dans libcurl dans la fonction de réutilisation de connexion qui permettait de réutiliser des connexions précédemment établies avec des permissions d’utilisateur incorrectes à cause d’un défaut de vérification de modifications dans l’option CURLOPT_GSSAPI_DELEGATION. Cette vulnérabilité affectait les transferts krb5/kerberos/negotiate/GSSAPI et pouvait éventuellement raboutir à un accès non autorisé à des informations sensibles. L’option la plus sûre est de ne pas réutiliser les connexions si l’option CURLOPT_GSSAPI_DELEGATION a été modifiée.

• CVE-2023-27538

  Une vulnérabilité de contournement d’authentification existait dans libcurl quand elle réutilise une connexion SSH précédemment établie malgré le fait qu’une option ait été modifiée, ce qui aurait dû empêcher la réutilisation. Libcurl entretient un réservoir de connexions utilisées précédemment pour les réutiliser dans des transferts subséquents si la configuration correspond. Cependant, deux réglages SSH étaient omis de la vérification de configuration, permettant une correspondance facile et conduisant éventuellement à une réutilisation d’une connexion inappropriée.

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 7.64.0-4+deb10u6.

Nous vous recommandons de mettre à jour vos paquets curl.

Pour disposer d'un état détaillé sur la sécurité de curl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/curl.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.