Bulletin d'alerte Debian

DSA-4633-1 curl -- Mise à jour de sécurité

Date du rapport :
22 février 2020
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 929351, Bogue 940009, Bogue 940010.
Dans le dictionnaire CVE du Mitre : CVE-2019-5436, CVE-2019-5481, CVE-2019-5482.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL.

  • CVE-2019-5436

    Un dépassement de tampon de tas a été découvert dans le code de réception de TFTP qui pourrait permettre un déni de service ou l'exécution de code arbitraire. Cela n'affecte que la distribution oldstable (Stretch).

  • CVE-2019-5481

    Thomas Vegas a découvert une double libération de zone de mémoire dans le code de FTP-KRB, déclenchée par l'envoi par un serveur malveillant de blocs de données de très grande taille.

  • CVE-2019-5482

    Thomas Vegas a découvert un dépassement de tas qui pourrait être déclenché lors de l'utilisation de petites tailles de bloc TFTP différentes de celles par défaut.

Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 7.52.1-5+deb9u10.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 7.64.0-4+deb10u1.

Nous vous recommandons de mettre à jour vos paquets curl.

Pour disposer d'un état détaillé sur la sécurité de curl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/curl.