domingo, 6 de noviembre de 2016

Múltiples vulnerabilidades en cURL y libcurl

Se ha publicado una nueva versión de la librería libcurl y de la propia herramienta curl, para corregir hasta 11 vulnerabilidades que podrían permitir a un atacante modificar cookies en el sistema, reutilizar sesiones, obtener información sensible o incluso ejecutar código arbitrario.

cURL y libcurl son una herramienta y librería para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.

En esta ocasión la lista de problemas corregidos es muy diversa:

Un servidor http malicioso podrá inyectar cookies para dominios arbitrarios si el estado de la cookie está en un archivo cookie jar (CVE-2016-8615). Al reutilizar una conexión, curl realiza comparaciones del nombre de usuario y contraseña sin tener en cuenta las mayúsculas y minúsculas, esto podrá permitir reutilizar una conexión si un atacante conoce una versión de las credenciales sin diferenciar las mayúsculas y minúsculas (CVE-2016-8616).

En sistemas 32 bits, una escritura fuera de límites debido a una multiplicación sin comprobar (CVE-2016-8617). Vulnerabilidades por doble liberación en curl_maprintf (CVE-2016-8618) y en krb5 code (CVE-2016-8619). Lectura y escritura fuera de límites en la característica "globbing" de la herramienta curl (CVE-2016-8620). Lectura fuera de límites en curl_getdate (CVE-2016-8621).

Desbordamiento de búfer en el tratamiento de URLs (CVE-2016-8622). Uso de memoria después de liberarla a través de shared cookies (CVE-2016-8623). Tratamiento unadecuado de URLs con '#' (CVE-2016-8624). Por último, cuando curl se compila con libidn para tratar nombres de dominio internacionales (International Domain Names, IDNA) utiliza el estándar IDNA 2003 para la resolución DNS, aunque el IDNA 2008 es el estándar moderno y actualizado. Esto puede hacer que curl emplee un host erróneo (CVE-2016-8625).

Se ha publicado la versión 7.51.0 que soluciona estas vulnerabilidades y otros problemas no relacionados con fallos de seguridad.
Disponible desde:
https://curl.haxx.se/download.html
También se han publicado parches individuales para evitar las diferentes vulnerabilidades.

Más Información:

cURL and libcurl
http://curl.haxx.se/

Fixed in 7.51.0 - November 2 2016
https://curl.haxx.se/changes.html



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017