Cabecera-v2-web.jpg

Actualización de seguridad para cURL y libcurl


Se ha publicado un boletí­n de seguridad del proyecto cURL para alertar de una vulnerabilidad en la librerí­a libcurl y en la propia herramienta curl, que podrí­a permitir a un atacante ejecutar código arbitrario en los sistemas afectados.

cURL y libcurl son una herramienta y librerí­a para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.

curl_logo.png

El problema, con CVE-2017-9502, reside en un desbordamiento de búfer en el tratamiento de URLs 'file:' especí­ficamente creadas y que podrí­a permitir la ejecución de código arbitrario. El vulnerabilidad se da cuando una URL 'file:' sin el '//' que sigue a los dos puntos, o bien los sistemas configurados para usar 'file' como protocolo por defecto para las URLs que no especifican el protocolo y la ruta dada comienza con una letra de unidad (por ejemplo, 'C'). Dada la naturaleza de la vulnerabilidad se ven afectados los sistemas basados en DOS y Windows.

Se ven afectadas las versiones libcurl 7.53.0 hasta la 7.54.0 (incluidas).

Se ha publicado la versión 7.54.1 que soluciona esta vulnerabilidad y otros problemas no relacionados con la seguridad.

Disponible desde:https://curl.haxx.se/docs/vuln-7.54.1.html

También se ha publicado un parche para evitar la vulnerabilidad: https://curl.haxx.se/CVE-2017-9502.patch


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11