Bulletin d'alerte Debian

DSA-4007-1 curl -- Mise à jour de sécurité

Date du rapport :
27 octobre 2017
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-1000257.
Plus de précisions :

Brian Carpenter, Geeknik Labs et 0xd34db347 ont découvert que cURL, une bibliothèque de transfert par URL, analysait incorrectement une réponse IMAP FETCH de taille 0, menant à une lecture hors limites.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 7.38.0-4+deb8u7.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 7.52.1-5+deb9u2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.56.1-1.

Nous vous recommandons de mettre à jour vos paquets curl.