Bulletin d'alerte Debian
DSA-919-2 curl -- Dépassement de tampon
- Date du rapport :
- 12 décembre 2005
- Paquets concernés :
- curl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 342339, Bogue 342696.
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 15756, Identifiant BugTraq 15102, Identifiant BugTraq 15647.
Dans le dictionnaire CVE du Mitre : CVE-2005-4077, CVE-2005-3185. - Plus de précisions :
-
Le développeur amont de curl, une bibliothèque multiprotocole de transfert de fichier, nous a informé que la mise à jour précédente corrigeant plusieurs erreurs dues à un décalage d'entier n'était pas suffisante. Voici ci-dessous l'intégralité du bulletin précédent :
Plusieurs problèmes ont été découverts dans libcurl, une bibliothèque multiprotocole de transfert de fichier. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
- CVE-2005-3185
Un dépassement de tampon a été découvert dans libcurl qui pouvait permettre l'exécution de code arbitraire.
- CVE-2005-4077
Stefan Esser a découvert plusieurs erreurs dues à un décalage d'entier, qui permettaient aux utilisteurs locaux de déclencher un dépassement de tampon et ainsi de provoquer un déni de service ou de contourner les restrictions de PHP sur la sécurité en utilisant certaines URLs.
Pour l'ancienne distribution stable (Woody), ces problèmes ont été corrigés dans la version 7.9.5-1woody2.
Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 7.13.2-2sarge5. Cette mise à jour inclut également une correction liée à la corruption de données.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 7.15.1-1.
Nous vous recommandons de mettre à jour vos paquets libcurl.
- CVE-2005-3185
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/c/curl/curl_7.9.5-1woody2.dsc
- http://security.debian.org/pool/updates/main/c/curl/curl_7.9.5-1woody2.diff.gz
- http://security.debian.org/pool/updates/main/c/curl/curl_7.9.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/curl/curl_7.9.5-1woody2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.9.5-1woody2_alpha.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_alpha.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl2_7.9.5-1woody2_alpha.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.9.5-1woody2_arm.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_arm.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl2_7.9.5-1woody2_arm.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.9.5-1woody2_i386.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_i386.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl2_7.9.5-1woody2_i386.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.9.5-1woody2_ia64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_ia64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl2_7.9.5-1woody2_ia64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.9.5-1woody2_hppa.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_hppa.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl2_7.9.5-1woody2_hppa.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.9.5-1woody2_m68k.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_m68k.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl2_7.9.5-1woody2_m68k.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.9.5-1woody2_mips.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_mips.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl2_7.9.5-1woody2_mips.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.9.5-1woody2_mipsel.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_mipsel.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl2_7.9.5-1woody2_mipsel.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.9.5-1woody2_powerpc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_powerpc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl2_7.9.5-1woody2_powerpc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.9.5-1woody2_s390.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_s390.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl2_7.9.5-1woody2_s390.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.9.5-1woody2_sparc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_sparc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl2_7.9.5-1woody2_sparc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl-dev_7.9.5-1woody2_sparc.deb
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2-2sarge5.dsc
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2-2sarge5.diff.gz
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2-2sarge5.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2-2sarge5_alpha.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_alpha.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.13.2-2sarge5_alpha.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dev_7.13.2-2sarge5_alpha.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gssapi_7.13.2-2sarge5_alpha.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2-2sarge5_amd64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_amd64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.13.2-2sarge5_amd64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dev_7.13.2-2sarge5_amd64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gssapi_7.13.2-2sarge5_amd64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2-2sarge5_arm.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_arm.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.13.2-2sarge5_arm.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dev_7.13.2-2sarge5_arm.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gssapi_7.13.2-2sarge5_arm.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2-2sarge5_i386.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_i386.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.13.2-2sarge5_i386.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dev_7.13.2-2sarge5_i386.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gssapi_7.13.2-2sarge5_i386.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2-2sarge5_ia64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_ia64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.13.2-2sarge5_ia64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dev_7.13.2-2sarge5_ia64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gssapi_7.13.2-2sarge5_ia64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2-2sarge5_hppa.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_hppa.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.13.2-2sarge5_hppa.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dev_7.13.2-2sarge5_hppa.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gssapi_7.13.2-2sarge5_hppa.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2-2sarge5_m68k.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_m68k.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.13.2-2sarge5_m68k.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dev_7.13.2-2sarge5_m68k.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gssapi_7.13.2-2sarge5_m68k.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2-2sarge5_mips.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_mips.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.13.2-2sarge5_mips.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dev_7.13.2-2sarge5_mips.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gssapi_7.13.2-2sarge5_mips.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2-2sarge5_mipsel.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_mipsel.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.13.2-2sarge5_mipsel.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dev_7.13.2-2sarge5_mipsel.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gssapi_7.13.2-2sarge5_mipsel.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2-2sarge5_powerpc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_powerpc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.13.2-2sarge5_powerpc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dev_7.13.2-2sarge5_powerpc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gssapi_7.13.2-2sarge5_powerpc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2-2sarge5_s390.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_s390.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.13.2-2sarge5_s390.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dev_7.13.2-2sarge5_s390.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gssapi_7.13.2-2sarge5_s390.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.13.2-2sarge5_sparc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_sparc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.13.2-2sarge5_sparc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dev_7.13.2-2sarge5_sparc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gssapi_7.13.2-2sarge5_sparc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.13.2-2sarge5_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.