Bulletin d'alerte Debian
DSA-2023-1 curl -- Débordement de mémoire tampon
- Date du rapport :
- 28 mars 2010
- Paquets concernés :
- curl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2010-0734.
- Plus de précisions :
-
Wesley Miaw a découvert que libcurl, une bibliothèque multiprotocole de transfert de fichiers, est prédisposée à un débordement de mémoire tampon à l'aide de la fonction de rappel quand une application compte sur libcurl pour décompresser les données automatiquement. Remarquez que cela ne concerne que les applications qui font confiance à la limite maximale de libcurl pour une taille de tampon donnée et ne réalisent pas de vérifications d'intégrité elles-mêmes.
Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 7.18.2-8lenny4.
À cause d'un problème avec le logiciel de l'archive, les paquets n'ont pas pu être publiés en même temps pour toutes les architectures. Les binaires pour les architectures hppa, ia64, mips, mipsel et s390 seront fournis dès qu'ils seront disponibles.
Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème a été corrigé dans la version 7.20.0-1.
Nous vous recommandons de mettre à jour vos paquets curl.
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/c/curl/curl_7.18.2-8lenny4.dsc
- http://security.debian.org/pool/updates/main/c/curl/curl_7.18.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/curl/curl_7.18.2-8lenny4.diff.gz
- http://security.debian.org/pool/updates/main/c/curl/curl_7.18.2.orig.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gnutls_7.18.2-8lenny4_alpha.deb
- http://security.debian.org/pool/updates/main/c/curl/curl_7.18.2-8lenny4_alpha.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-openssl-dev_7.18.2-8lenny4_alpha.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.18.2-8lenny4_alpha.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-gnutls-dev_7.18.2-8lenny4_alpha.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.18.2-8lenny4_alpha.deb
- http://security.debian.org/pool/updates/main/c/curl/curl_7.18.2-8lenny4_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-gnutls-dev_7.18.2-8lenny4_amd64.deb
- http://security.debian.org/pool/updates/main/c/curl/curl_7.18.2-8lenny4_amd64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gnutls_7.18.2-8lenny4_amd64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.18.2-8lenny4_amd64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.18.2-8lenny4_amd64.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-openssl-dev_7.18.2-8lenny4_amd64.deb
- http://security.debian.org/pool/updates/main/c/curl/curl_7.18.2-8lenny4_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.18.2-8lenny4_arm.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gnutls_7.18.2-8lenny4_arm.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-gnutls-dev_7.18.2-8lenny4_arm.deb
- http://security.debian.org/pool/updates/main/c/curl/curl_7.18.2-8lenny4_arm.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.18.2-8lenny4_arm.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-openssl-dev_7.18.2-8lenny4_arm.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gnutls_7.18.2-8lenny4_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.18.2-8lenny4_armel.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-openssl-dev_7.18.2-8lenny4_armel.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-gnutls-dev_7.18.2-8lenny4_armel.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gnutls_7.18.2-8lenny4_armel.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.18.2-8lenny4_armel.deb
- http://security.debian.org/pool/updates/main/c/curl/curl_7.18.2-8lenny4_armel.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-openssl-dev_7.18.2-8lenny4_armel.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.18.2-8lenny4_i386.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.18.2-8lenny4_i386.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-openssl-dev_7.18.2-8lenny4_i386.deb
- http://security.debian.org/pool/updates/main/c/curl/curl_7.18.2-8lenny4_i386.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gnutls_7.18.2-8lenny4_i386.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-gnutls-dev_7.18.2-8lenny4_i386.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.18.2-8lenny4_i386.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.18.2-8lenny4_powerpc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gnutls_7.18.2-8lenny4_powerpc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-openssl-dev_7.18.2-8lenny4_powerpc.deb
- http://security.debian.org/pool/updates/main/c/curl/curl_7.18.2-8lenny4_powerpc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-gnutls-dev_7.18.2-8lenny4_powerpc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.18.2-8lenny4_powerpc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gnutls_7.18.2-8lenny4_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/curl/curl_7.18.2-8lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-gnutls-dev_7.18.2-8lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-openssl-dev_7.18.2-8lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-gnutls_7.18.2-8lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3-dbg_7.18.2-8lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl3_7.18.2-8lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/c/curl/libcurl4-gnutls-dev_7.18.2-8lenny4_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.