[RFR] wml://lts/security/2020/dla-2500.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
#use wml::debian::translation-check translation="b5442e774e44072d3f8668bab88ee69536ff07cb" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans curl, un outil en ligne de
commande pour transférer des données avec une syntaxe dâ??URL et une bibliothèque
de transfert dâ??URL, côté client, facile à utiliser.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8284";>CVE-2020-8284</a>
<p>Quand curl réalise un transfert passif par FTP, il essaie en premier la
commande EPSV et, si elle nâ??est pas prise en charge, il se replie sur PASV.
Le mode passif est ce que curl utilise par défaut. Une réponse de serveur pour
une commande PASV inclut lâ??adresse (IPv4) et le numéro de port pour le client
pour se reconnecter afin de réaliser le transfert réel des données. Câ??est la
façon dont le protocole FTP est conçu. Un serveur malveillant peut utiliser la
réponse PASV pour embringuer curl à se reconnecter à une certaine adresse et un
certain port, et de cette façon pouvoir potentiellement extraire des informations
à propos de services qui sont, sauf accord, privés et non divulgués, par
exemple, par la réalisation dâ??un balayage de ports ou lâ??extraction de bannières
de service.</p>
<p>La partie adresse IP de la réponse est désormais ignorée par défaut, en
réglant par défaut CURLOPT_FTP_SKIP_PASV_IP à  1L au lieu du réglage précédant 0L.
Cela conduit au plus petit effet faisant quâ??une petite fraction des cas dâ??utilisation
soient cassés quand le serveur a besoin réellement de se reconnecter à une
adresse IP différente que celle utilisée par le contrôle de connexion et que
ceux où CURLOPT_FTP_SKIP_PASV_IP peut être réglé à  0L. La même chose est
valable pour lâ??outil en ligne de commande qui peut nécessiter lâ??option
--no-ftp-skip-pasv-ip pour empêcher curl dâ??ignorer lâ??adresse dans la réponse
du serveur.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8285";>CVE-2020-8285</a>
<p>libcurl propose une fonctionnalité de correspondance de joker. Cela permet a
une fonction de rappel (définie avec CURLOPT_CHUNK_BGN_FUNCTION) de renvoyer
des informations à libcurl sur la façon de gérer une entrée particulière
dans un répertoire quand libcurl itère une liste dâ??entrées disponibles. Quand
cette fonction renvoie CURL_CHUNK_BGN_FUNC_SKIP, pour indiquer à libcurl
dâ??ignorer ce fichier, la fonction interne dans libcurl sâ??appelle récursivement
pour gérer la prochaine entrée de répertoire. Sâ??il existe un nombre suffisant
dâ??entrées de fichier et si le rappel renvoie <q>skip</q> un nombre de fois
suffisant, libcurl débordera de son espace de pile. Le montant exact dépend
des plateformes, des compilateurs et dâ??autres facteurs environnementaux. Le
contenu du répertoire distant nâ??est pas conservé dans la pile, aussi cela
semble difficile pour lâ??attaquant de contrôler exactement quelles données
écrasent la pile. Cependant, cela demeure un vecteur de déni de service, aussi
un utilisateur malveillant qui contrôle le serveur sur lequel lâ??application
utilisant libcurl sous ces prémisses peut provoquer un plantage.</p>
<p>La fonction interne est réécrite pour plutôt, et de manière plus appropriée,
utiliser une boucle ordinaire au lieu de lâ??approche récursive. De cette façon
lâ??utilisation de la pile reste la même quelque soit le nombre de fichiers
sautés.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8286";>CVE-2020-8286</a>
<p>libcurl propose <q>lâ??agrafage OCSP</q> Ã lâ??aide de lâ??option
CURLOPT_SSL_VERIFYSTATUS. Lorsquâ??elle est active, libcurl vérifie la réponse
OCSP que le serveur renvoie comme part de lâ??initialisation de connexion TLS. Il
interrompt alors la négociation TLS si quelque chose est faux dans la réponse.
La même fonctionnalité peut être activée avec --cert-status en utilisant lâ??outil
curl. Comme part de la vérification de réponse OCSP, un client doit vérifier
que la réponse et effectivement pour le bon certificat. Cette étape nâ??était pas
réalisée par libcurl lorsque construite ou indiquée dâ??utiliser OpenSSL comme
dorsal TLS. Ce défaut pouvait permettre à un attaquant, qui pouvait peut être
avoir déjoué un serveur TLS, de fournir une réponse OCSP frauduleuse apparaissant
correcte, au lieu de celle réelle â?? comme si le certificat originel en fait avait
été révoqué.</p>
<p>La fonction de vérification de réponse OCSP vérifie désormais que
lâ??identifiant de certificat soit correct.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 7.52.1-5+deb9u13.</p>
<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de curl, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/curl";>https://security-tracker.debian.org/tracker/curl</a>.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2500.data"
# $Id: $
Reply to: