Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 29 mars 2010

N° CERTA-2010-AVI-138

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans cURL/LibCurl

Gestion du document

Référence	CERTA-2010-AVI-138
Titre	Vulnérabilité dans cURL/LibCurl
Date de la première version	29 mars 2010
Date de la dernière version	29 mars 2010
Source(s)	Bulletin de sécurité Curl du 9 février 2010

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Déni de service à distance

Systèmes affectés

cURL et LibCurl en versions 7.10.5 à 7.19.7 (inclus)

Résumé

Une vulnérabilité de type débordement de mémoire permet à un utilisateur distant d'effectuer un déni de service.

Description

Une vulnérabilité découverte dans Curl/LibCurl permet de créer un déni de service. La vulnérabilité n'est exploitable que si l'option de décompression automatique à été activée par l'application.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Debian DSA 2023 du 28 mars 2010 :

http://www.debian.org/security/2010/dsa-2023

Bulletin de sécurité Mandriva MDVSA-2010:062 du 19 mars 2010 :

http://www.mandriva.com/security/advisories?name=MDVSA-2010:062

Bulletin de sécurité cURL du 9 fevrier 2010 :

http://cuCurl.haxx.se/docs/adv_20100209.html

Référence CVE CVE-2010-0734

https://www.cve.org/CVERecord?id=CVE-2010-0734

Gestion détaillée du document

le 29 mars 2010: version initiale.