Synthèse
Des mises à jour de sécurité ont été publiées pour corriger une vulnérabilité dans cURL, un outil de ligne de commande et une bibliothèque de transfert de données populaires. Cette vulnérabilité affecte l’analyseur ASN1 de libcurl, dans la fonction GTime2str() : si un champ correctement conçu est fourni, un utilisateur malveillant pourrait compromettre la disponibilité du service et/ou accéder aux informations présentes dans le tas mémoire de l’application.
Risque
Impact estimé de la vulnérabilité sur la communauté de référence : MOYEN/JAUNE (63,58/100)1.
Typologie
- Denial of Service
- Information Disclosure
Produits et versions concernés
cURL, versions 7.32.0 à 8.9.0
Mesures d’atténuation
Conformément aux déclarations du fournisseur, il est recommandé de mettre à jour les produits vulnérables en suivant les instructions du bulletin de sécurité rapporté dans la section Références.
Identificateurs de vulnérabilité uniques
Références
https://curl.se/docs/CVE-2024-7264.html
1Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.
