Risque
- Exécution de code arbitraire à distance
Systèmes affectés
cURL versions 7.15.2 et antérieures.
Résumé
Une vulnérabilité dans cURL permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire.
Description
Une vulnérabilité de type débordement de tampon dans la mise en œuvre du protocole TFTP par cURL permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire par le biais d'une URL malicieusement construite.
Solution
La version 7.5.13 de cURL corrige le problème :
http://curl.haxx.se/download.html
Documentation
- Liste des changements apportés à la version 7.15.3 http://curl.haxx.se/changes.html
- Bulletin de sécurité FreeBSD pour curl du 20 mars 2006 : http://www.vuxml.org/freebsd/pkg-curl.html
- Bulletin de sécurité Gentoo GLSA 200603-19 du 21 mars 2006 : http://www.gentoo.org/security/en/glsa/glsa-200603-19.xml
- Site de cURL : http://curl.haxx.se
- Référence CVE CVE-2006-1061 https://www.cve.org/CVERecord?id=CVE-2006-1061