cURL - CVE-2024-6197

Date de publication :

Date de mise à jour :

Un défaut d’allocation mémoire dans la fonction utf8asn1str du parseur ASN.1 de cURL permet à un attaquant non authentifié, en utilisant un certificat TLS spécifiquement forgé, de provoquer un déni de service.

CVE-2024-6197

[Score CVSS v3.1: 7.5]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Déni de service

Exploitation

La vulnérabilité exploitée est du type
CWE-590: Free of Memory not on the Heap

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Faible
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Systèmes ou composants affectés

cURL versions comprises entre 8.6.0 et 8.8.0 (incluses)



Nessus Network Monitor versions antérieures à 6.5.0 

Produits Microsoft affectés

CBL Mariner 2.0 x64

CBL Mariner 2.0 ARM

Windows 11 Version 24H2 for x64-based Systems

Windows 11 Version 24H2 for ARM64-based Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Solutions ou recommandations

Mettre à jour cURL vers la version 8.9.0 ou ultérieure.
Mettre à jour Nessus Network Monitor vers la version 6.5.0 ou ultérieure.

Appliquer les correctifs suivants :

  • Windows 11 Version 24H2 for x64-based Systems : [KB5044284]
  • Windows 11 Version 24H2 for ARM64-based Systems : [KB5044284]
  • Windows Server 2022, 23H2 Edition (Server Core installation) : [KB5044288]
  • Windows 11 Version 23H2 for x64-based Systems : [KB5044285]
  • Windows 11 Version 23H2 for ARM64-based Systems : [KB5044285]
  • Windows 10 Version 22H2 for 32-bit Systems : [KB5044273]
  • Windows 10 Version 22H2 for ARM64-based Systems : [KB5044273]
  • Windows 10 Version 22H2 for x64-based Systems : [KB5044273]
  • Windows 11 Version 22H2 for x64-based Systems : [KB5044285]
  • Windows 11 Version 22H2 for ARM64-based Systems : [KB5044285]
  • Windows 10 Version 21H2 for x64-based Systems : [KB5044273]
  • Windows 10 Version 21H2 for ARM64-based Systems : [KB5044273]
  • Windows 10 Version 21H2 for 32-bit Systems : [KB5044273]
  • Windows 11 version 21H2 for ARM64-based Systems : [KB5044280]
  • Windows 11 version 21H2 for x64-based Systems : [KB5044280]
  • Windows Server 2022 (Server Core installation) : [KB5044281]
  • Windows Server 2022 : [KB5044281]
  • Windows Server 2019 (Server Core installation) : [KB5044277]
  • Windows Server 2019 : [KB5044277]
  • Windows 10 Version 1809 for x64-based Systems : [KB5044277]
  • Windows 10 Version 1809 for 32-bit Systems : [KB5044277]

Des informations complémentaires sont disponibles dans le bulletin de cURL.

Liens