Bulletin d'alerte Debian
DSA-4051-1 curl -- Mise à jour de sécurité
- Date du rapport :
- 29 novembre 2017
- Paquets concernés :
- curl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2017-8816, CVE-2017-8817.
- Plus de précisions :
-
Deux vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL.
- CVE-2017-8816
Alex Nichols a découvert un défaut de débordement de tampon dans le code d'authentification NTLM qui peut être déclenché sur les systèmes 32 bits où un dépassement d'entier pourrait se produire lors du calcul de la taille d'une allocation de mémoire.
- CVE-2017-8817
Des tests aléatoires du projet OSS-Fuzz menaient à la découverte d'un défaut de lecture hors limites dans la fonction joker de FTP dans libcurl. Un serveur malveillant pourrait rediriger un client basé sur libcurl sur une URL utilisant un motif joker, déclenchant la lecture hors limites.
Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 7.38.0-4+deb8u8.
Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 7.52.1-5+deb9u3.
Nous vous recommandons de mettre à jour vos paquets curl.
Pour disposer d'un état détaillé sur la sécurité de curl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/curl
- CVE-2017-8816