Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

cURL versions 7.12.1 et antérieures.

Résumé

Deux vulnérabilités dans cURL/libcURL permettent l'exécution de code arbitraire à distance.

Description

cURL est un outil en ligne de commande permettant de transférer des fichiers.

Une première vulnérabilité de type débordement de mémoire existe dans l'authentification NTLM (NT Lan Manager).

Une seconde vulnérabilité de type débordement de mémoire existe dans l'authentification Kerberos.

Un utilisateur mal intentionné peut, en incitant sa victime à se connecter à un serveur malicieux en utilisant l'authentification NTLM ou l'authentification Kerberos, exécuter du code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation