Se
ha publicado un boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad
en la librería libcurl y en la propia herramienta curl, que podría permitir a
un atacante evitar controles de seguridad.
cURL y libcurl son una herramienta y librería para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.
Detalle de la actualización
- El problema, con CVE-2016-7141, reside en que libcurl puede reutilizar certificados de cliente si se uso un certificado desde un archivo en una conexión TLS, pero no hay un certificado asignado conexiones TLS posteriores.
- Los síntomas son similares a la vulnerabilidad con CVE-2016-5420 (reutilización de una conexión con un certificado cliente erróneo), corregida en la anterior versión de cURL. La nueva vulnerabilidad se debe a un detalle en la implementación del backend de NSS en libcurl.
- Se ven afectados los sistemas curl y libcurl generados con el soporte de NSS (Network Security Services) y solo si la librería libnsspem.so está disponible en tiempo de ejecución.Se ven afectadas las versiones libcurl 7.19.6 hasta la 7.50.1 (incluida).
Recomendación
- Se ha publicado la versión 7.50.2 que soluciona estas vulnerabilidades, disponible desde, https://github.com/curl/curl/commit/curl-7_50_2~32
- También se ha publicado un parche para evitar la vulnerabilidad disponible desde https://curl.haxx.se/CVE-2016-7141.patch
- cURL and libcurl http://curl.haxx.se/
- Incorrect reuse of client certificates https://curl.haxx.se/docs/adv_20160907.html