lunes, 24 de abril de 2017

Actualización de seguridad para cURL y libcurl

Se ha publicado un boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad en la librería libcurl y en la propia herramienta curl, que podría permitir a un atacante evitar controles de seguridad.

cURL y libcurl son una herramienta y librería para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.

El problema, con CVE-2017-7468, reside en que libcurl intenta reanudar una sesión TLS incluso si el certificado del cliente ha cambiado. Esto es inaceptable, ya que por especificación un servidor puede omitir la comprobación de certificado de cliente en la reanudación y, en su lugar, puede utilizar la identidad antigua establecida por el certificado anterior (o por ningún certificado).
Se trata de una regresión y es idéntico a la vulnerabilidad (CVE-2016-5419) que ya fue solucionada en agosto de 2016, pero afecta a diferentes versiones.

Se ven afectadas las versiones libcurl 7.52.0 hasta la 7.53.1 (incluidas).

Se ha publicado la versión 7.54.0 que soluciona esta vulnerabilidad y otros problemas no relacionados con la seguridad.
Disponible desde:
También se ha publicado un parche para evitar la vulnerabilidad:

Más Información:

cURL and libcurl

TLS session resumption client cert bypass (again)

una-al-dia (08/08/2016) Actualización de seguridad para cURL y libcurl


Antonio Ropero
Twitter: @aropero



No hay comentarios:

Publicar un comentario