Bulletin d'alerte Debian
DSA-4007-1 curl -- Mise à jour de sécurité
- Date du rapport :
- 27 octobre 2017
- Paquets concernés :
- curl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2017-1000257.
- Plus de précisions :
-
Brian Carpenter, Geeknik Labs et 0xd34db347 ont découvert que cURL, une bibliothèque de transfert par URL, analysait incorrectement une réponse IMAP FETCH de taille 0, menant à une lecture hors limites.
Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 7.38.0-4+deb8u7.
Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 7.52.1-5+deb9u2.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.56.1-1.
Nous vous recommandons de mettre à jour vos paquets curl.