L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de cURL : trois vulnérabilités

Synthèse de la vulnérabilité 

Un attaquant peut employer plusieurs vulnérabilités de cURL.
Produits impactés : SDS, SES, SNS, OpenOffice, Mac OS X, curl, Debian, Unisphere EMC, VNX Operating Environment, VNX Series, Fedora, Juniper EX-Series, Junos OS, SRX-Series, openSUSE Leap, Solaris, RHEL, Ubuntu.
Gravité de ce bulletin : 2/4.
Nombre de vulnérabilités dans ce bulletin : 3.
Date de création : 21/12/2016.
Références de cette menace : APPLE-SA-2017-07-19-2, cpuoct2018, CVE-2016-9586, CVE-2016-9952, CVE-2016-9953, DLA-1568-1, DLA-767-1, DSA-2019-114, DSA-2020-030, FEDORA-2016-86d2b5aefb, FEDORA-2016-edbb33ab2e, HT207615, HT207922, JSA10874, openSUSE-SU-2017:1105-1, RHSA-2018:3558-01, STORM-2019-002, USN-3441-1, USN-3441-2, VIGILANCE-VUL-21435.

Description de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans cURL.

Un attaquant peut provoquer un débordement de tampon via des nombres flottants, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-9586]

Sur plateformes WinCE, un attaquant peut fausser la comparaison de noms X.501 dans le processus de validation de certificat X.509, afin d'usurper l'identité d'un serveur. [grav:2/4; CVE-2016-9952]

Sur plateformes WinCE, un attaquant peut provoquer un débordement de tampon en lecture dans le processus de validation de certificat X.509, afin de lire la mémoire du serveur ou de mener un déni de service. [grav:2/4; CVE-2016-9953]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis de menace informatique concerne les logiciels ou systèmes comme SDS, SES, SNS, OpenOffice, Mac OS X, curl, Debian, Unisphere EMC, VNX Operating Environment, VNX Series, Fedora, Juniper EX-Series, Junos OS, SRX-Series, openSUSE Leap, Solaris, RHEL, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin cyber-sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de serveur internet.

Ce bulletin concerne 3 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte de faille.

Solutions pour cette menace 

cURL : version 7.52.0.
La version 7.52.0 est corrigée :
  https://curl.haxx.se/download/curl-7.52.0.tar.bz2

Apache OpenOffice : version 4.1.6.
La version 4.1.6 est corrigée :
  https://www.openoffice.org/download/

Apple macOS : version 10.12.6.
La version 10.12.6 est corrigée :
  https://www.apple.com/

Apple Mac OS X : version 10.12.4.
La version 10.12.4 est corrigée.

Debian 7 : nouveaux paquetages curl.
De nouveaux paquetages sont disponibles :
  Debian 7 : curl 7.26.0-1+wheezy18

Debian 8 : nouveaux paquetages curl.
De nouveaux paquetages sont disponibles :
  Debian 8 : curl 7.38.0-4+deb8u13

Dell EMC Unisphere Central : version 4.0.8.23220.
La version 4.0.8.23220 est corrigée :
  https://www.dell.com/support/

Dell EMC VNXe3200 : version 3.1.11.10003441.
La version 3.1.11.10003441 est corrigée :
  https://www.dell.com/support/

Fedora : nouveaux paquetages curl.
De nouveaux paquetages sont disponibles :
  Fedora 24 : curl 7.47.1-10.fc24
  Fedora 25 : curl 7.51.0-4.fc25

Junos OS : solution pour cURL.
La solution est indiquée dans les sources d'information.

openSUSE Leap : nouveaux paquetages curl.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.2 : curl 7.37.0-16.3.1
  openSUSE Leap 42.1 : curl 7.37.0-19.1

Oracle Solaris : CPU de octobre 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2451130.1

RHEL : nouveaux paquetages httpd24.
De nouveaux paquetages sont disponibles :
  RHEL 6 : httpd24-curl 7.61.1-1.el6, httpd24-httpd 2.4.34-7.el6, httpd24-nghttp2 1.7.1-7.el6
  RHEL 7 : httpd24-curl 7.61.1-1.el7, httpd24-httpd 2.4.34-7.el7, httpd24-nghttp2 1.7.1-7.el7

Stormshield : solution pour curl.
La solution est indiquée dans les sources d'information.

Ubuntu : nouveaux paquetages curl.
De nouveaux paquetages sont disponibles :
  Ubuntu 17.04 : curl 7.52.1-4ubuntu1.2
  Ubuntu 16.04 LTS : curl 7.47.0-1ubuntu2.3
  Ubuntu 14.04 LTS : curl 7.35.0-1ubuntu2.11
  Ubuntu 12.04 ESM : curl 7.22.0-3ubuntu4.18
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une annonce de vulnérabilité applicative. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.