Vigil@nce - cURL : trois vulnérabilités
octobre 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de cURL.
– Produits concernés : cURL, Debian, Fedora, openSUSE, openSUSE
Leap, Slackware, Ubuntu.
– Gravité : 2/4.
– Date création : 03/08/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans cURL.
Le client TLS de libcurl peut reprendre une session malgré le
changement de certificat client, ce qui peut conduire à
l’authentification sur un serveur avec l’identité incorrecte.
[grav:2/4 ; CVE-2016-5419]
Le client TLS de libcurl peut réutiliser une session malgré le
changement de certificat client, ce qui peut conduire à
l’authentification sur un serveur avec l’identité incorrecte.
[grav:2/4 ; CVE-2016-5420]
Un attaquant peut provoquer l’utilisation d’une zone mémoire
libérée via curleasyinit(), afin de mener un déni de service,
et éventuellement d’exécuter du code. [grav:2/4 ; CVE-2016-5421]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/cURL-trois-vulnerabilites-20295