Bulletin d'alerte Debian

DSA-4051-1 curl -- Mise à jour de sécurité

Date du rapport :
29 novembre 2017
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-8816, CVE-2017-8817.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL.

  • CVE-2017-8816

    Alex Nichols a découvert un défaut de débordement de tampon dans le code d'authentification NTLM qui peut être déclenché sur les systèmes 32 bits où un dépassement d'entier pourrait se produire lors du calcul de la taille d'une allocation de mémoire.

  • CVE-2017-8817

    Des tests aléatoires du projet OSS-Fuzz menaient à la découverte d'un défaut de lecture hors limites dans la fonction joker de FTP dans libcurl. Un serveur malveillant pourrait rediriger un client basé sur libcurl sur une URL utilisant un motif joker, déclenchant la lecture hors limites.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 7.38.0-4+deb8u8.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 7.52.1-5+deb9u3.

Nous vous recommandons de mettre à jour vos paquets curl.

Pour disposer d'un état détaillé sur la sécurité de curl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/curl