Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-3022-1 curl

Bulletin d'alerte Debian

DSA-3022-1 curl -- Mise à jour de sécurité

Date du rapport :

10 septembre 2014

Paquets concernés :

curl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-3613, CVE-2014-3620.

Plus de précisions :

Deux vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert d'URL. Elles peuvent être utilisées pour provoquer une fuite d'information de cookies :

• CVE-2014-3613

  En ne détectant pas et en ne rejetant pas correctement des noms de domaine pour des adresses IP littérales partielles lors de l'analyse de cookies HTTP reçus, libcurl peut être conduit, par erreur, à la fois à envoyer des cookies à de mauvais sites et à permettre à des sites arbitraires de créer des cookies pour d'autres sites.

• CVE-2014-3620

  libcurl permet de créer faussement des cookies pour des domaines de premier niveau (Top Level Domains - TLD), les faisant ainsi s'appliquer plus largement qu'il n'est permis pour ces cookies. Cela peut permettre à des sites arbitraires de créer des cookies qui peuvent ensuite être envoyés à un site ou à un domaine différent et sans rapport.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 7.26.0-1+wheezy10.

Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 7.38.0-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 7.38.0-1.

Nous vous recommandons de mettre à jour vos paquets curl.