Se
han publicado tres boletines de
seguridad del proyecto cURL para alertar de vulnerabilidades en la librería
libcurl y en la propia herramienta curl, que podrían permitir a un atacante
evitar restricciones de seguridad y comprometer
los sistemas afectados.
cURL y libcurl son una herramienta
y librería para descargar ficheros mediante la sintaxis URL a través de diferentes
protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP,
LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y
utilizada por millones de usuarios en diversos sistemas operativos, utilidades
y aplicaciones webs.
El primer problema, con CVE-2016-5419, reside
en que libcurl intenta reanudar una sesión TLS incluso si el certificado del
cliente ha cambiado. Por otra parte, con CVE-2016-5420, otro
problema relacionado con el tratamiento de sesiones TLS. libcurl soporta la
reutilización de conexiones establecidas para peticiones posteriores, sin
embargo no tiene en cuenta los certificados de cliente al reutilizar las
conexiones TLS.
Estos problemas afectan a todas
las versiones de curl y libcurl que soporten TLS (SSL/TLS para CVE-2016-5420) y
certificados de cliente. Se ven afectadas las versiones libcurl 7.1 hasta la 7.50.0 (incluida).
Por último, con CVE-2016-5421, una
vulnerabilidad de uso de memoria después de liberarla relacionado con la
función "curl_easy_perform()". Este fallo no afecta a la herramienta
de línea de comandos cURL. Se ven afectadas las versiones libcurl 7.32.0 hasta la
7.50.0 (incluida).
Se ha publicado la versión 7.50.1
que soluciona estas vulnerabilidades. Disponible desde:
También se han publicado partes
individuales para cada una de las vulnerabilidades:
Más Información:
cURL and libcurl
TLS session
resumption client cert bypass
Re-using connections with wrong client cert
use of connection struct after free
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario