Se
ha publicado un
boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad en la
librería libcurl y en la propia
herramienta curl, que podría
permitir a un atacante evitar controles
de seguridad.
cURL y libcurl son una herramienta
y librería para descargar ficheros mediante la sintaxis URL a través de
diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS,
LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y
utilizada por millones de usuarios en diversos sistemas operativos, utilidades
y aplicaciones webs.
El problema, con CVE-2017-7468,
reside en que libcurl intenta reanudar una sesión TLS incluso si el certificado
del cliente ha cambiado. Esto es inaceptable, ya que por especificación un
servidor puede omitir la comprobación de certificado de cliente en la
reanudación y, en su lugar, puede utilizar la identidad antigua establecida por
el certificado anterior (o por ningún certificado).
Se trata de una regresión y es
idéntico a la vulnerabilidad (CVE-2016-5419) que ya fue
solucionada
en agosto de 2016, pero afecta a diferentes versiones.
Se ven afectadas las versiones
libcurl 7.52.0 hasta la 7.53.1 (incluidas).
Se ha publicado la versión 7.54.0 que soluciona esta
vulnerabilidad y otros problemas no relacionados con la seguridad.
Disponible desde:
También se ha publicado un parche
para evitar la vulnerabilidad:
Más Información:
cURL and libcurl
TLS session
resumption client cert bypass (again)
una-al-dia (08/08/2016) Actualización de seguridad para cURL
y libcurl
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario