Salto de verificación de certificados en cURL
domingo, 22 de mayo de 2016
Se ha publicado un boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad en la librería libcurl, que podría permitir a un atacante remoto evitar la validación de certificados.
cURL es una librería y herramienta para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.
La vulnerabilidad, con CVE-2016-3739, reside en sistemas con soporte para mbedTLS o PolarSSL debido a un uso incorrecto de la función *sslsethostname(); que provoca que libcurl no compruebe el certificado de servidor de conexiones TLS cuando se especifica el host mediante una dirección IP, o cuando expresamente se indica usar SSLv3.
Un atacante remoto podría usar una conexión especificada mediante una dirección IP para crear una conexión con un servidor falsificado o construir un ataque de hombre en el medio.
La vulnerabilidad afecta desde la versión 7.21.0 hasta la 7.48.0 inclusive, tanto en la librería como en la utilidad. Se deben tener en cuenta las aplicaciones de terceros que incluyen en su implementación la librería de forma interna.
Se ha publicado la versión 7.49.0 que soluciona totalmente la vulnerabilidad.
Más información:
TLS certificate check bypass with mbedTLS/PolarSSL
https://curl.haxx.se/docs/adv_20160518.html
Antonio Ropero
Twitter: @aropero
