Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3705-1 curl

Bulletin d'alerte Debian

DSA-3705-1 curl -- Mise à jour de sécurité

Date du rapport :

3 novembre 2016

Paquets concernés :

curl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-8615, CVE-2016-8616, CVE-2016-8617, CVE-2016-8618, CVE-2016-8619, CVE-2016-8620, CVE-2016-8621, CVE-2016-8622, CVE-2016-8623, CVE-2016-8624.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL :

• CVE-2016-8615

  Un serveur HTTP malveillant pourrait injecter de nouveaux cookies pour des domaines arbitraires dans un conteneur à cookies.

• CVE-2016-8616

  Lors de la réutilisation d'une connexion, curl faisait des comparaisons de noms d'utilisateur et de mots de passe, sans tenir compte de la casse, avec les connexions existantes.

• CVE-2016-8617

  Dans les systèmes avec des adresses 32 bits dans l'espace utilisateur (par exemple x86, ARM, x32), le calcul de la valeur de la taille du tampon de sortie dans la fonction encode base64 pourrait conduire à un dépassement d’entier, si la taille d'entrée était d'au moins 1 GB de données, provoquant le sous-dimensionnement du tampon de sortie à allouer.

• CVE-2016-8618

  La fonction curl_maprintf() pourrait être entraînée à une double libération de zone de mémoire à cause d'une multiplication de size_t non sûre dans les systèmes utilisant des variables size_t 32 bits.

• CVE-2016-8619

  L'implémentation de Kerberos pourrait être entraînée à une double libération de zone de mémoire lors de la lecture d'un des champs de longueur à partir d'une socket.

• CVE-2016-8620

  La fonctionnalité globbing de l'outil curl pourrait écrire dans des emplacements de mémoire incorrects lors de l'analyse de plages non valables.

• CVE-2016-8621

  La fonction curl_getdate pourrait effectuer des lectures hors limites lors de l'analyse de chaînes de dates non valables.

• CVE-2016-8622

  La fonction de décodage d'URL « percent-encoding » renverrait une variable d'entier signée 32 bits comme longueur, même si elle a alloué un tampon de destination de plus de 2 Go, qui mènerait à une écriture hors limites.

• CVE-2016-8623

  libcurl pourrait accéder à un emplacement de mémoire déjà libéré à cause d'un accès concurrent à des cookies partagés. Cela pourrait conduire à un déni de service ou à la divulgation d'informations sensibles.

• CVE-2016-8624

  curl n'analyserait pas correctement le composant d'autorité d'une URL lorsque le nom d'hôte se termine par un caractère « # », et pourrait être entraîné à se connecter à un hôte différent.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 7.38.0-4+deb8u5.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 7.51.0-1.

Nous vous recommandons de mettre à jour vos paquets curl.