Risque
- Contournement de la politique de sécurité
Systèmes affectés
cURL et libcurl, jusqu'à la version 7.19.5.
Résumé
Une vulnérabilité dans cURL et libcurl permet à un utilisateur malveillant de contourner la politique de sécurité.
Description
Une vulnérabilité est présente dans cURL et libcurl qui, quand OpenSSL est utilisé, permet à un utilisateur malveillant de tromper l'utilisateur sur l'identité du serveur auquel il est connecté.
Solution
La version 7.19.6 remédie à cette vulnérabilité. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité du projet cURL du 12 août 2009 http://curl.haxx.se/docs/adv_20090812.txt
- Bulletin de sécurité Debian DSA-1869-1 du 19 août 2009 : http://www.debian.org/security/2009/dsa-1869
- Bulletin de sécurité Mandriva MDVSA-2009:203 du 15 août 2009 : http://www.mandriva.com/en/security/advisories?name=MDVSA-2009:203
- Bulletin de sécurité RedHat RHSA-2009:1209-1 du 13 août 2009 : http://rhn.redhat.com/errata/RHSA-2009-1209-1.html
- Bulletin de sécurité Ubuntu USN-818-1 du 17 août 2009 : http://www.ubuntu.com/usn/usn-818-1
- Référence CVE CVE-2009-2408 https://www.cve.org/CVERecord?id=CVE-2009-2408
- Référence CVE CVE-2009-2417 https://www.cve.org/CVERecord?id=CVE-2009-2417
