Bulletin d'alerte Debian

DSA-3992-1 curl -- Mise à jour de sécurité

Date du rapport :
6 octobre 2017
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 871554, Bogue 871555, Bogue 877671.
Dans le dictionnaire CVE du Mitre : CVE-2017-1000100, CVE-2017-1000101, CVE-2017-1000254.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2017-1000100

    Even Rouault a signalé que cURL ne traite pas correctement les longs noms de fichier lors d'un envoi TFTP. Un serveur HTTP(S) malveillant peut tirer avantage de ce défaut en redirigeant un client utilisant la bibliothèque cURL vers une URL TFTP contrefaite et le forcer à envoyer des contenus de mémoire privés à un serveur distant sur UDP.

  • CVE-2017-1000101

    Brian Carpenter et Yongji Ouyang ont signalé que cURL renferme un défaut dans la fonction « globbing » qui analyse les plages numériques, menant à une lecture hors limites lors de l'analyse d'une URL contrefaite pour l'occasion.

  • CVE-2017-1000254

    Max Dymond a signalé que cURL renferme un défaut de lecture hors limites dans l'analyseur de réponse FTP PWD. Un serveur malveillant peut tirer avantage de ce défaut pour empêcher réellement un client utilisant la bibliothèque cURL de s'en servir, provoquant un déni de service.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 7.38.0-4+deb8u6.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 7.52.1-5+deb9u1.

Nous vous recommandons de mettre à jour vos paquets curl.