Vigil@nce - cURL : trois vulnérabilités
février 2017 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de cURL.
Produits concernés : cURL, Debian, Fedora.
Gravité : 2/4.
Date création : 21/12/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans cURL.
Un attaquant peut provoquer un débordement de tampon via des
nombres flottants, afin de mener un déni de service, et
éventuellement d’exécuter du code. [grav:2/4 ; CVE-2016-9586]
Sur plateformes WinCE, un attaquant peut fausser la comparaison de
noms X.501 dans le processus de validation de certificat X.509,
afin d’usurper l’identité d’un serveur. [grav:2/4 ; CVE-2016-9952]
Sur plateformes WinCE, un attaquant peut provoquer un débordement
de tampon en lecture dans le processus de validation de certificat
X.509, afin de lire la mémoire du serveur ou de mener un déni de
service. [grav:2/4 ; CVE-2016-9953]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/cURL-trois-vulnerabilites-21435