Se
ha publicado un boletín de seguridad del proyecto cURL para alertar de una
vulnerabilidad en la librería libcurl y en la propia herramienta curl, que
podría permitir a un atacante evitar controles de seguridad.
cURL
y libcurl son una herramienta y librería para descargar ficheros mediante la
sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher,
HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP,
SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos
sistemas operativos, utilidades y aplicaciones webs.
Detalle
de la actualización
- El problema, con CVE-2017-7468, reside en que
libcurl intenta reanudar una sesión TLS incluso si el certificado del
cliente ha cambiado. Esto es inaceptable, ya que por especificación un
servidor puede omitir la comprobación de certificado de cliente en la
reanudación y, en su lugar, puede utilizar la identidad antigua
establecida por el certificado anterior (o por ningún certificado).
- Se trata de una regresión y es idéntico a la
vulnerabilidad (CVE-2016-5419) que ya fue solucionada en agosto de 2016,
pero afecta a diferentes versiones.
Recursos
afectados
- Se ven afectadas las versiones libcurl 7.52.0 hasta la 7.53.1 (incluidas).
- Se ha publicado
la versión 7.54.0 que soluciona esta vulnerabilidad y otros problemas no
relacionados con la seguridad, disponible desde: https://curl.haxx.se/docs/vuln-7.54.0.html
- También se ha
publicado un parche para evitar la vulnerabilidad: https://curl.haxx.se/CVE-2017-7468.patch
Más
Información:
- cURL and libcurl
http://curl.haxx.se/
- TLS session
resumption client cert bypass (again) https://curl.haxx.se/docs/adv_20160907.html
