Vulnérabilité de cURL et libcurl

Gestion du document

Référence	CERTA-2009-AVI-338-002
Titre	Vulnérabilité de cURL et libcurl
Date de la première version	17 août 2009
Date de la dernière version	21 août 2009
Source(s)	Bulletin de sécurité du projet cURL du 12 août 2009
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Contournement de la politique de sécurité.

Systèmes affectés

cURL et libcurl, jusqu'à la version 7.19.5.

Résumé

Une vulnérabilité dans cURL et libcurl permet à un utilisateur malveillant de contourner la politique de sécurité.

Description

Une vulnérabilité est présente dans cURL et libcurl qui, quand OpenSSL est utilisé, permet à un utilisateur malveillant de tromper l'utilisateur sur l'identité du serveur auquel il est connecté.

Solution

La version 7.19.6 remédie à cette vulnérabilité. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité du projet cURL du 12 août 2009 :
```
http://curl.haxx.se/docs/adv_20090812.txt
```
Bulletin de sécurité Debian DSA-1869-1 du 19 août 2009 :
```
http://www.debian.org/security/2009/dsa-1869
```

Bulletin de sécurité Mandriva MDVSA-2009:203 du 15 août 2009 :

http://www.mandriva.com/en/security/advisories?name=MDVSA-2009:203

Bulletin de sécurité RedHat RHSA-2009:1209-1 du 13 août 2009 :
```
http://rhn.redhat.com/errata/RHSA-2009-1209-1.html
```
Bulletin de sécurité Ubuntu USN-818-1 du 17 août 2009 :
```
http://www.ubuntu.com/usn/usn-818-1
```

Référence CVE CVE-2009-2417 :

https://www.cve.org/CVERecord?id=CVE-2009-2417

Référence CVE CVE-2009-2408 :

https://www.cve.org/CVERecord?id=CVE-2009-2408

Gestion détaillée du document

le 17 août 2009: version initiale.

le 19 août 2009: ajout des références aux bulletins RedHat et Ubuntu.

le 21 août 2009: ajout des références aux bulletins Mandriva et Debian.

Avis du CERT-FR

Objet: Vulnérabilité de cURL et libcurl