Cabecera-v2-web.jpg

Actualización de seguridad para cURL y libcurl


Se han publicado tres boletines de seguridad del proyecto cURL para alertar de vulnerabilidades en la librerí­a libcurl y en la propia herramienta curl, que podrí­an permitir a un atacante evitar restricciones de seguridad y comprometer los sistemas afectados.

cURL y libcurl son una herramienta y librerí­a para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.

El primer problema, con CVE-2016-5419, reside en que libcurl intenta reanudar una sesión TLS incluso si el certificado del cliente ha cambiado. Por otra parte, con CVE-2016-5420, otro problema relacionado con el tratamiento de sesiones TLS. libcurl soporta la reutilización de conexiones establecidas para peticiones posteriores, sin embargo no tiene en cuenta los certificados de cliente al reutilizar las conexiones TLS.

Estos problemas afectan a todas las versiones de curl y libcurl que soporten TLS (SSL/TLS para CVE-2016-5420) y certificados de cliente. Se ven afectadas las versiones libcurl 7.1 hasta la 7.50.0 (incluida).

Por último, con CVE-2016-5421, una vulnerabilidad de uso de memoria después de liberarla relacionado con la función "curl_easy_perform()". Este fallo no afecta a la herramienta de lí­nea de comandos cURL. Se ven afectadas las versiones libcurl 7.32.0 hasta la 7.50.0 (incluida).

Se ha publicado la versión 7.50.1 que soluciona estas vulnerabilidades. Disponible desde: https://curl.haxx.se/download.html

También se han publicado partes individuales para cada una de las vulnerabilidades:
https://curl.haxx.se/CVE-2016-5419.patch
https://curl.haxx.se/CVE-2016-5420.patch
https://curl.haxx.se/CVE-2016-5421.patch


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11