Bulletin d'alerte Debian

DSA-4136-1 curl -- Mise à jour de sécurité

Date du rapport :

14 mars 2018

Paquets concernés :

curl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL.

CVE-2018-1000120
Duy Phan Thanh a découvert que curl pourrait être trompé et écrire un octet vide hors limites quand curl est appelé à travailler sur une URL FTP avec le réglage d'émettre seulement une unique commande CWD, si la partie répertoire de l'URL contient une séquence “%00”.
CVE-2018-1000121
Dario Weisser a découvert que curl pourrait déréférencer une adresse proche de NULL lors de la réception d'une URL LDAP du fait que la fonction ldap_get_attribute_ber() renvoie LDAP_SUCCESS et un pointeur NULL. Un serveur malveillant pourrait provoquer le plantage des applications utilisant libcurl qui permettent les URL LDAP ou les redirections vers des URL LDAP.
CVE-2018-1000122
OSS-fuzz, assisté par Max Dymond, a découvert que curl pourrait être entraîné à copier des données au-delà de la fin de son tampon de tas quand il est appelé à transférer une URL RTSP.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 7.38.0-4+deb8u10.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 7.52.1-5+deb9u5.

Nous vous recommandons de mettre à jour vos paquets curl.

Pour disposer d'un état détaillé sur la sécurité de curl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/curl