Aviso de seguridad de Debian

DSA-4051-1 curl -- actualización de seguridad

Fecha del informe:
29 de nov de 2017
Paquetes afectados:
curl
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2017-8816, CVE-2017-8817.
Información adicional:

Se descubrieron dos vulnerabilidades en cURL, una biblioteca para transferencia de URL.

  • CVE-2017-8816

    Alex Nichols descubrió un defecto de desbordamiento de memoria en el código que implementa la autenticación NTLM que puede desencadenarse en sistemas de 32 bits, en los que podría producirse un desbordamiento de entero al calcular el tamaño de una asignación de memoria.

  • CVE-2017-8817

    La realización de pruebas «fuzzing» por parte del proyecto OSS-Fuzz llevó al descubrimiento de un defecto de lectura fuera de límites en la función que trata los caracteres comodín FTP en libcurl. Un servidor malicioso podría redireccionar a un cliente que utilice libcurl hacia una URL que incluya un patrón de caracteres comodín, desencadenando la lectura fuera de límites.

Para la distribución «antigua estable» (jessie), estos problemas se han corregido en la versión 7.38.0-4+deb8u8.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 7.52.1-5+deb9u3.

Le recomendamos que actualice los paquetes de curl.

Para información detallada sobre el estado de seguridad de curl consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/curl