Le développeur amont de curl, une bibliothèque multiprotocole de transfert de fichier, nous a informé que la mise à jour précédente corrigeant plusieurs erreurs dues à un décalage d'entier n'était pas suffisante. Voici ci-dessous l'intégralité du bulletin précédent :
Plusieurs problèmes ont été découverts dans libcurl, une bibliothèque multiprotocole de transfert de fichier. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
- CVE-2005-3185
Un dépassement de tampon a été découvert dans libcurl qui pouvait permettre l'exécution de code arbitraire.
- CVE-2005-4077
Stefan Esser a découvert plusieurs erreurs dues à un décalage d'entier, qui permettaient aux utilisteurs locaux de déclencher un dépassement de tampon et ainsi de provoquer un déni de service ou de contourner les restrictions de PHP sur la sécurité en utilisant certaines URLs.
Pour l'ancienne distribution stable (Woody), ces problèmes ont été corrigés dans la version 7.9.5-1woody2.
Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 7.13.2-2sarge5. Cette mise à jour inclut également une correction liée à la corruption de données.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 7.15.1-1.
Nous vous recommandons de mettre à jour vos paquets libcurl.
Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
Les hachés MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.