Informations de sécurité / 2021 / Informations sur la sécurité -- DSA-4881-1 curl

Bulletin d'alerte Debian

DSA-4881-1 curl -- Mise à jour de sécurité

Date du rapport :

30 mars 2021

Paquets concernés :

curl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 965280, Bogue 965281, Bogue 968831, Bogue 977161, Bogue 977162, Bogue 977163.
Dans le dictionnaire CVE du Mitre : CVE-2020-8169, CVE-2020-8177, CVE-2020-8231, CVE-2020-8284, CVE-2020-8285, CVE-2020-8286, CVE-2021-22876, CVE-2021-22890.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL :

• CVE-2020-8169

  Marek Szlagor a signalé que libcurl pourrait être entraîné à préfixer le nom d'hôte d'une partie du mot de passe avant sa résolution, divulguant éventuellement le mot de passe partiel sur le réseau et vers le(s) serveur(s) DNS.

• CVE-2020-8177

  sn a signalé que curl pourrait être entraîné par un serveur malveillant à écraser un fichier local lors de l'utilisation des options -J (--remote-header-name) et -i (--include) dans la même ligne de commande.

• CVE-2020-8231

  Marc Aldorasi a signalé que libcurl pourrait utiliser la mauvaise connexion quand une application utilisant plusieurs API de libcurl attribue l'option CURLOPT_CONNECT_ONLY, ce qui pourrait conduire à des fuites d'information.

• CVE-2020-8284

  Varnavas Papaioannou a signalé qu'un serveur malveillant pourrait utiliser la réponse PASV pour entraîner curl à se reconnecter à une adresse IP et à un port arbitraires, faisant éventuellement que curl extrait des informations sur des services qui sont autrement privés et non divulgués.

• CVE-2020-8285

  xnynx a signalé que libcurl pourrait épuiser l'espace de la pile lors de l'utilisation de la fonctionnalité de correspondance de joker de FTP (CURLOPT_CHUNK_BGN_FUNCTION).

• CVE-2020-8286

  Il a été signalé que libcurl ne vérifiait pas si une réponse OCSP correspondait effectivement au certificat attendu.

• CVE-2021-22876

  Viktor Szakats a signalé que libcurl ne retire pas les identifiants d'utilisateur de l'URL lorsqu'il remplissait automatiquement le champ d'en-tête Referer d'une requête HTTP dans les requêtes HTTP sortantes.

• CVE-2021-22890

  Mingtao Yang a signalé que, lors de l'utilisation d'un mandataire HTTPS et de TLS 1.3, libcurl pourrait confondre les tickets de session provenant du mandataire HTTPS comme s'ils provenaient plutôt du serveur distant. Cela pourrait permettre à un mandataire HTTPS d'entraîner libcurl à utiliser le mauvais ticket de session pour l'hôte et ainsi de contourner la vérification du certificat TLS du serveur.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 7.64.0-4+deb10u2.

Nous vous recommandons de mettre à jour vos paquets curl.

Pour disposer d'un état détaillé sur la sécurité de curl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/curl.