Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3638-1 curl

Bulletin d'alerte Debian

DSA-3638-1 curl -- Mise à jour de sécurité

Date du rapport :

3 août 2016

Paquets concernés :

curl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-5419, CVE-2016-5420, CVE-2016-5421.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL :

• CVE-2016-5419

  Bru Rom a découvert que libcurl essaierait de reconnecter une session TLS même si le certificat du client a changé.

• CVE-2016-5420

  libcurl n'examinait pas les certificats des clients quand elle réutilisait des connexions TLS.

• CVE-2016-5421

  Marcelo Echeverria et Fernando Muñoz ont découvert que libcurl était vulnérable à un défaut utilisation de mémoire après libération.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 7.38.0-4+deb8u4.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 7.50.1-1.

Nous vous recommandons de mettre à jour vos paquets curl.