Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

cURL 7.x.

Résumé

Une vulnérabilité dans la bibliothèque libcURL permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

La bibliothèque libcURL comporte de nombreuses fonctions permettant le transfert de fichiers en utilisant des syntaxes de type adresses réticulaires (URL).
Une vulnérabilité de type débordement de mémoire, due à une mauvaise gestion des URL dont la longueur est supérieure à 256 octets, peut être exploitée par un utilisateur mal intentionné, au moyen d'une requête HTTP malicieusement constituée, afin d'exécuter du code arbitraire sur la machine vulnérable.

Solution

Mettre à jour cURL en version 7.15.1. cURL peut être téléchargé à l'adresse suivante :

http://curl.haxx.se/download.html

Dans tous les cas se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation