Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-4007-1 curl

Bulletin d'alerte Debian

DSA-4007-1 curl -- Mise à jour de sécurité

Date du rapport :

27 octobre 2017

Paquets concernés :

curl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2017-1000257.

Plus de précisions :

Brian Carpenter, Geeknik Labs et 0xd34db347 ont découvert que cURL, une bibliothèque de transfert par URL, analysait incorrectement une réponse IMAP FETCH de taille 0, menant à une lecture hors limites.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 7.38.0-4+deb8u7.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 7.52.1-5+deb9u2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.56.1-1.

Nous vous recommandons de mettre à jour vos paquets curl.