sábado, 10 de septiembre de 2016

Actualización de seguridad para cURL y libcurl

Se ha publicado un boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad en la librería libcurl y en la propia herramienta curl, que podría permitir a un atacante evitar controles de seguridad.

cURL y libcurl son una herramienta y librería para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.

El problema, con CVE-2016-7141, reside en que libcurl puede reutilizar certificados de cliente si se uso un certificado desde un archivo en una conexión TLS, pero no hay un certificado asignado conexiones TLS posteriores.

Los síntomas son similares a la vulnerabilidad con CVE-2016-5420 (reutilización de una conexión con un certificado cliente erróneo), corregida en la anterior versión de cURL. La nueva vulnerabilidad se debe a un detalle en la implementación del backend de NSS en libcurl.

Se ven afectados los sistemas curl y libcurl generados con el soporte de NSS (Network Security Services) y solo si la librería libnsspem.so está disponible en tiempo de ejecución.Se ven afectadas las versiones libcurl 7.19.6 hasta la 7.50.1 (incluida).

Se ha publicado la versión 7.50.2 que soluciona estas vulnerabilidades.
Disponible desde:
También se ha publicado un parche para evitar la vulnerabilidad:

Más Información:

cURL and libcurl

Incorrect reuse of client certificates

una-al-dia (08/08/2016) Actualización de seguridad para cURL y libcurl



Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada