Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2798-1 curl

Bulletin d'alerte Debian

DSA-2798-1 curl -- Absence de vérification du certificat SSL du nom d'hôte

Date du rapport :

17 novembre 2013

Paquets concernés :

curl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-4545.

Plus de précisions :

Scott Cantor a découvert que curl, un outil de téléchargement de fichier, désactivait la vérification de CURLOPT_SSLVERIFYHOST lorsque le paramètre CURLOPT_SSL_VERIFYPEER était désactivé. Cela désactivait aussi les vérifications du certificat SSL du nom d'hôte, au lieu de désactiver uniquement la vérification de la chaîne de confiance du certificat.

La configuration par défaut du paquet curl n'est pas affectée par ce problème, car CURLOPT_SSLVERIFYPEER est activé par défaut.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 7.21.0-2.1+squeeze5.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 7.26.0-1+wheezy5.

Pour la distribution testing (Jessie) et la distribution unstable (Sid), ce problème a été corrigé dans la version 7.33.0-1.

Nous vous recommandons de mettre à jour vos paquets curl.