Se ha publicado un boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad en la librería libcurl y en la propia herramienta curl, que podría permitir a un atacante evitar controles de seguridad.

cURL y libcurl son una herramienta y librería para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.

El problema, con CVE-2017-7468, reside en que libcurl intenta reanudar una sesión TLS incluso si el certificado del cliente ha cambiado. Esto es inaceptable, ya que por especificación un servidor puede omitir la comprobación de certificado de cliente en la reanudación y, en su lugar, puede utilizar la identidad antigua establecida por el certificado anterior (o por ningún certificado).

Se trata de una regresión y es idéntico a la vulnerabilidad (CVE-2016-5419) que ya fue solucionada en agosto de 2016, pero afecta a diferentes versiones.

Se ven afectadas las versiones libcurl 7.52.0 hasta la 7.53.1 (incluidas).

Se ha publicado la versión 7.54.0 que soluciona esta vulnerabilidad y otros problemas no relacionados con la seguridad.

Disponible desde:

https://curl.haxx.se/docs/vuln-7.54.0.html

También se ha publicado un parche para evitar la vulnerabilidad:

https://curl.haxx.se/CVE-2017-7468.patch

Más Información:

cURL and libcurl

http://curl.haxx.se/

TLS session resumption client cert bypass (again)

https://curl.haxx.se/docs/adv_20160907.html

una-al-dia (08/08/2016) Actualización de seguridad para cURL y libcurl

http://unaaldia.hispasec.com/2016/08/actualizacion-de-seguridad-para-curl-y.html

Antonio Ropero

[email protected]

Twitter: @aropero