Bulletin d'alerte Debian
curl and curl-ssl -- Exploitation à distance
- Date du rapport :
- 13 octobre 2000
- Paquets concernés :
- curl, curl-ssl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2000-0973.
- Plus de précisions :
-
La version de curl distribuée avec la Debian GNU/Linux 2.2 à un
bogue dans le code d'échec d'authentification : lorsqu'il crée le message
d'erreur, il n'arrive pas à vérifier la taille allouée au tampon pour
stocker le message. Ceci peut être exploité par une machine distante en
retournant une réponse invalide à une requête en provenance de curl.
Cela a pour résultat un débordement de tampon dans curl qui autorise
alors l'exécution de code arbitraire par son intermédiaire.
Debian possède deux versions de curl : le paquet curl ordinaire et le paquet curl-ssl ayant l'option de chiffrement activée. Ce bogue a été corrigé dans la version 6.0-1.1 de curl et dans la version 6.0-1.2 de curl-ssl.
La première version de cette alerte désignait un mauvais paquet pour i386. Il a été remplacé par la version 6.0-1.1.1.
- Corrigé dans :
-
Debian GNU/Linux 2.2 (potato)
curl-ssl
- Source :
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0-1.2.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0-1.2.dsc
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0-1.2.dsc
- Alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/curl-ssl_6.0-1.2_alpha.deb
- ARM:
- http://security.debian.org/dists/potato/updates/main/binary-arm/curl-ssl_6.0-1.2_arm.deb
- Intel ia32:
- http://security.debian.org/dists/potato/updates/main/binary-i386/curl-ssl_6.0-1.2_i386.deb
- PowerPC:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/curl-ssl_6.0-1.2_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/curl-ssl_6.0-1.2_sparc.deb
curl
- Source :
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0-1.1.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0-1.1.dsc
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/curl_6.0-1.1.dsc
- Alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/curl_6.0-1.1_alpha.deb
- ARM:
- http://security.debian.org/dists/potato/updates/main/binary-arm/curl_6.0-1.1_arm.deb
- Intel ia32:
- http://security.debian.org/dists/potato/updates/main/binary-i386/curl_6.0-1.1.1_i386.deb
- PowerPC:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/curl_6.0-1.1_powerpc.deb
- Sun SPARC:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/curl_6.0-1.1_sparc.deb