cURL y libcurl son una herramienta y librería para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.

El primer problema, con CVE-2016-5419, reside en que libcurl intenta reanudar una sesión TLS incluso si el certificado del cliente ha cambiado. Por otra parte, con CVE-2016-5420, otro problema relacionado con el tratamiento de sesiones TLS. libcurl soporta la reutilización de conexiones establecidas para peticiones posteriores, sin embargo no tiene en cuenta los certificados de cliente al reutilizar las conexiones TLS.

Estos problemas afectan a todas las versiones de curl y libcurl que soporten TLS (SSL/TLS para CVE-2016-5420) y certificados de cliente. Se ven afectadas las versiones libcurl 7.1 hasta la 7.50.0 (incluida).

Por último, con CVE-2016-5421, una vulnerabilidad de uso de memoria después de liberarla relacionado con la función "curl_easy_perform()". Este fallo no afecta a la herramienta de línea de comandos cURL. Se ven afectadas las versiones libcurl 7.32.0 hasta la 7.50.0 (incluida).

Se ha publicado la versión 7.50.1 que soluciona estas vulnerabilidades. Disponible desde:

También se han publicado partes individuales para cada una de las vulnerabilidades:

cURL and libcurl

Antonio Ropero

Twitter: @aropero