Sauter le menu

• À propos de Debian
• Actualités
• Obtenir Debian
• Assistance
• Le coin du développeur
• Plan du site
• Recherche

Bulletin d'alerte Debian

curl and curl-ssl -- Exploitation à distance

Date du rapport:

13 octobre 2000

Paquets concernés:

curl, curl-ssl

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2000-0973.

Pour plus d'information:

La version de curl distribuée avec la Debian GNU/Linux 2.2 à un bogue dans le code d'échec d'authentification : lorsqu'il crée le message d'erreur, il n'arrive pas à vérifier la taille allouée au tampon pour stocker le message. Ceci peut être exploité par une machine distante en retournant une réponse invalide à une requête en provenance de curl. Cela a pour résultat un débordement de tampon dans curl qui autorise alors l'exécution de code arbitraire par son intermédiaire.

Debian possède deux versions de curl : le paquet curl ordinaire et le paquet curl-ssl ayant l'option de chiffrement activée. Ce bogue a été corrigé dans la version 6.0-1.1 de curl et dans la version 6.0-1.2 de curl-ssl.

La première version de cette alerte désignait un mauvais paquet pour i386. Il a été remplacé par la version 6.0-1.1.1.

Corrigé dans:

Debian GNU/Linux 2.2 (potato)

curl-ssl

Source :

http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0-1.2.diff.gz

http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0-1.2.dsc

http://security.debian.org/dists/potato/updates/main/source/curl-ssl_6.0.orig.tar.gz

Alpha:

http://security.debian.org/dists/potato/updates/main/binary-alpha/curl-ssl_6.0-1.2_alpha.deb

ARM:

http://security.debian.org/dists/potato/updates/main/binary-arm/curl-ssl_6.0-1.2_arm.deb

Intel ia32:

http://security.debian.org/dists/potato/updates/main/binary-i386/curl-ssl_6.0-1.2_i386.deb

PowerPC:

http://security.debian.org/dists/potato/updates/main/binary-powerpc/curl-ssl_6.0-1.2_powerpc.deb

Sun Sparc:

http://security.debian.org/dists/potato/updates/main/binary-sparc/curl-ssl_6.0-1.2_sparc.deb

curl

Source :

http://security.debian.org/dists/potato/updates/main/source/curl_6.0-1.1.diff.gz

http://security.debian.org/dists/potato/updates/main/source/curl_6.0-1.1.dsc

http://security.debian.org/dists/potato/updates/main/source/curl_6.0.orig.tar.gz

Alpha:

http://security.debian.org/dists/potato/updates/main/binary-alpha/curl_6.0-1.1_alpha.deb

ARM:

http://security.debian.org/dists/potato/updates/main/binary-arm/curl_6.0-1.1_arm.deb

Intel ia32:

http://security.debian.org/dists/potato/updates/main/binary-i386/curl_6.0-1.1.1_i386.deb

PowerPC:

http://security.debian.org/dists/potato/updates/main/binary-powerpc/curl_6.0-1.1_powerpc.deb

Sun SPARC:

http://security.debian.org/dists/potato/updates/main/binary-sparc/curl_6.0-1.1_sparc.deb

Cette page est aussi disponible dans les langues suivantes :

Deutsch English español 日本語 (Nihongo) svenska

Comment configurer la langue par défaut du document