Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2660-1 curl

Bulletin d'alerte Debian

DSA-2660-1 curl -- Exposition d'informations sensibles

Date du rapport :

20 avril 2013

Paquets concernés :

curl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 705274.
Dans le dictionnaire CVE du Mitre : CVE-2013-1944.

Plus de précisions :

Yamada Yasuharu a découvert que cURL, une bibliothèque de transfert par URL, est susceptible d'exposer des informations sensibles en faisant des requêtes entre domaines dont les terminaisons des noms correspondent. À cause d'un bogue dans la fonction tailmatch lors de la mise en correspondance de noms de domaines, il était possible que les cookies enregistrés pour un domaine ample.com puissent accidentellement être envoyés par libcurl lors d'une communication avec example.com.

L'outil en ligne de commande curl et les applications utilisant la bibliothèque libcurl sont vulnérables.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 7.21.0-2.1+squeeze3.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 7.26.0-1+wheezy2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.29.0-2.1.

Nous vous recommandons de mettre à jour vos paquets curl.