Se ha publicado un boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad en la librería libcurl y en la propia herramienta curl, que podría permitir a un atacante evitar controles de seguridad.
cURL y libcurl son una herramienta y librería para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.
El problema, con CVE-2017-7468, reside en que libcurl intenta reanudar una sesión TLS incluso si el certificado del cliente ha cambiado. Esto es inaceptable, ya que por especificación un servidor puede omitir la comprobación de certificado de cliente en la reanudación y, en su lugar, puede utilizar la identidad antigua establecida por el certificado anterior (o por ningún certificado).
Se trata de una regresión y es idéntico a la vulnerabilidad (CVE-2016-5419) que ya fue solucionadaen agosto de 2016, pero afecta a diferentes versiones.
Se ven afectadas las versiones libcurl 7.52.0 hasta la 7.53.1 (incluidas).
Se ha publicado la versión 7.54.0 que soluciona esta vulnerabilidad y otros problemas no relacionados con la seguridad.
Disponible desde:
https://curl.haxx.se/docs/vuln-7.54.0.html
También se ha publicado un parche para evitar la vulnerabilidad:
https://curl.haxx.se/CVE-2017-7468.patch
Más Información:
cURL and libcurl
http://curl.haxx.se/
TLS session resumption client cert bypass (again)
https://curl.haxx.se/docs/adv_20160907.html
una-al-dia (08/08/2016) Actualización de seguridad para cURL y libcurl
http://unaaldia.hispasec.com/2016/08/actualizacion-de-seguridad-para-curl-y.html
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Compártelo: