Vigil@nce - cURL : deux vulnérabilités de cookies
septembre 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Le programme cURL peut envoyer certains cookies d’un utilisateur à
un attaquant disposant d’un site web illicite.
– Produits concernés : cURL, Debian, Fedora, MBS, openSUSE, Ubuntu
– Gravité : 2/4
– Date création : 10/09/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans cURL.
cURL peut envoyer le cookie d’un site à un autre site terminant
par les mêmes fragments d’adresse IP. [grav:2/4 ; CVE-2014-3613]
cURL peut envoyer le cookie d’un site à un autre site terminant
par le même suffixe public (.co.uk, etc.). [grav:2/4 ;
CVE-2014-3620]
Le programme cURL peut donc envoyer certains cookies d’un
utilisateur à un attaquant disposant d’un site web illicite.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/cURL-deux-vulnerabilites-de-cookies-15326