De Hispasec – Una al Día: Actualización de seguridad para cURL y libcurl (08/08/2016)

Publicado el 09/08/2016 por Hector Suarez Planas
Actualización de seguridad para cURL y libcurl

lunes, 8 de agosto de 2016

Se han publicado tres boletines de seguridad del proyecto cURL para alertar de vulnerabilidades en la librería libcurl y en la propia herramienta curl, que podrían permitir a un atacante evitar restricciones de seguridad y comprometer los sistemas afectados.

curl_logocURL y libcurl son una herramienta y librería para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.

El primer problema, con CVE-2016-5419, reside en que libcurl intenta reanudar una sesión TLS incluso si el certificado del cliente ha cambiado. Por otra parte, con CVE-2016-5420, otro problema relacionado con el tratamiento de sesiones TLS. libcurl soporta la reutilización de conexiones establecidas para peticiones posteriores, sin embargo no tiene en cuenta los certificados de cliente al reutilizar las conexiones TLS.

Estos problemas afectan a todas las versiones de curl y libcurl que soporten TLS (SSL/TLS para CVE-2016-5420) y certificados de cliente. Se ven afectadas las versiones libcurl 7.1 hasta la 7.50.0 (incluida).

Por último, con CVE-2016-5421, una vulnerabilidad de uso de memoria después de liberarla relacionado con la función «curl_easy_perform()». Este fallo no afecta a la herramienta de línea de comandos cURL. Se ven afectadas las versiones libcurl 7.32.0 hasta la 7.50.0 (incluida).

Se ha publicado la versión 7.50.1 que soluciona estas vulnerabilidades. Disponible desde:

https://curl.haxx.se/download.html

También se han publicado partes individuales para cada una de las vulnerabilidades:

https://curl.haxx.se/CVE-2016-5419.patch

https://curl.haxx.se/CVE-2016-5420.patch

https://curl.haxx.se/CVE-2016-5421.patch

Más Información:

cURL and libcurl

http://curl.haxx.se/

TLS session resumption client cert bypass

https://curl.haxx.se/docs/adv_20160803A.html

Re-using connections with wrong client cert

https://curl.haxx.se/docs/adv_20160803B.html

use of connection struct after free

https://curl.haxx.se/docs/adv_20160803C.html

 

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, cURL, Seguridad, Vulnerabilidades. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *