Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2398-2 curl

Bulletin d'alerte Debian

DSA-2398-2 curl -- Plusieurs vulnérabilités

Date du rapport :

31 mars 2012

Paquets concernés :

curl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 658276.
Dans le dictionnaire CVE du Mitre : CVE-2011-3389, CVE-2012-0036.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2011-3389

  Cette mise à jour active les contournements OpenSSL contre l'attaque BEAST. De plus amples renseignements sont disponibles dans l'annonce cURL

• CVE-2012-0036

  Dan Fandrich a découvert que cURL ne réalise pas suffisamment de vérifications lors de l'extraction d'une partie de chemin de fichier d'une URL.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 7.18.2-8lenny6.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 7.21.0-2.1+squeeze2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.24.0-1.

Nous vous recommandons de mettre à jour vos paquets curl.