Se
ha publicado una nueva versión de la librería libcurl y de la propia
herramienta curl, para corregir hasta 11 vulnerabilidades que podrían permitir
a un atacante modificar cookies en el sistema, reutilizar sesiones, obtener
información sensible o incluso ejecutar código arbitrario.
cURL y libcurl son una
herramienta y librería para descargar ficheros mediante la sintaxis URL a
través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS,
IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS,
Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas
operativos, utilidades y aplicaciones webs.
En esta ocasión la lista de
problemas corregidos es muy diversa:
Un servidor http malicioso podrá
inyectar cookies para dominios arbitrarios si el estado de la cookie está en un
archivo cookie jar (CVE-2016-8615).
Al reutilizar una conexión, curl realiza comparaciones del nombre de usuario y
contraseña sin tener en cuenta las mayúsculas y minúsculas, esto podrá permitir
reutilizar una conexión si un atacante conoce una versión de las credenciales sin
diferenciar las mayúsculas y minúsculas (CVE-2016-8616).
En sistemas 32 bits, una
escritura fuera de límites debido a una multiplicación sin comprobar (CVE-2016-8617).
Vulnerabilidades por doble liberación en curl_maprintf (CVE-2016-8618)
y en krb5 code (CVE-2016-8619).
Lectura y escritura fuera de límites en la característica "globbing"
de la herramienta curl (CVE-2016-8620).
Lectura fuera de límites en curl_getdate (CVE-2016-8621).
Desbordamiento de búfer en el
tratamiento de URLs (CVE-2016-8622).
Uso de memoria después de liberarla a través de shared cookies (CVE-2016-8623).
Tratamiento unadecuado de URLs con '#' (CVE-2016-8624).
Por último, cuando curl se compila con libidn para tratar nombres de dominio
internacionales (International Domain Names, IDNA) utiliza el estándar IDNA
2003 para la resolución DNS, aunque el IDNA 2008 es el estándar moderno y
actualizado. Esto puede hacer que curl emplee un host erróneo (CVE-2016-8625).
Se ha publicado la versión 7.51.0
que soluciona estas vulnerabilidades y otros problemas no relacionados con fallos
de seguridad.
Disponible desde:
También se han publicado parches individuales
para evitar las diferentes vulnerabilidades.
Más Información:
cURL and libcurl
Fixed in
7.51.0 - November 2 2016
Antonio Ropero
Twitter: @aropero