Bulletin d'alerte Debian
DSA-4098-1 curl -- Mise à jour de sécurité
- Date du rapport :
- 26 janvier 2018
- Paquets concernés :
- curl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2018-1000005, CVE-2018-1000007.
- Plus de précisions :
-
Deux vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL.
- CVE-2018-1000005
Zhouyihai Ding a découvert une lecture hors limites dans le code traitant les « trailer » HTTP/2. Ce problème n'affecte pas la distribution oldstable (Jessie).
- CVE-2018-1000007
Craig de Stigter a découvert que les données d'authentification pourraient être révélées à des tiers en suivant des redirections HTTP.
Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 7.38.0-4+deb8u9.
Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 7.52.1-5+deb9u4.
Nous vous recommandons de mettre à jour vos paquets curl.
Pour disposer d'un état détaillé sur la sécurité de curl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/curl
- CVE-2018-1000005