Información sobre seguridad / 2017 / Información sobre seguridad -- DSA-4051-1 curl

Aviso de seguridad de Debian

DSA-4051-1 curl -- actualización de seguridad

Fecha del informe:

29 de nov de 2017

Paquetes afectados:

curl

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2017-8816, CVE-2017-8817.

Información adicional:

Se descubrieron dos vulnerabilidades en cURL, una biblioteca para transferencia de URL.

• CVE-2017-8816

  Alex Nichols descubrió un defecto de desbordamiento de memoria en el código que implementa la autenticación NTLM que puede desencadenarse en sistemas de 32 bits, en los que podría producirse un desbordamiento de entero al calcular el tamaño de una asignación de memoria.

• CVE-2017-8817

  La realización de pruebas «fuzzing» por parte del proyecto OSS-Fuzz llevó al descubrimiento de un defecto de lectura fuera de límites en la función que trata los caracteres comodín FTP en libcurl. Un servidor malicioso podría redireccionar a un cliente que utilice libcurl hacia una URL que incluya un patrón de caracteres comodín, desencadenando la lectura fuera de límites.

Para la distribución «antigua estable» (jessie), estos problemas se han corregido en la versión 7.38.0-4+deb8u8.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 7.52.1-5+deb9u3.

Le recomendamos que actualice los paquetes de curl.

Para información detallada sobre el estado de seguridad de curl consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/curl