esenfrdeitptru

Libcurl/curl librería usada de forma predeterminada en muchas distribuciones de Linux con vulnerabilidad de criticidad alta

AS-058-2023

Fecha: 12/Oct/2023

Resumen:

En relación con el lanzamiento de curl 8.4.0, publicamos un aviso de seguridad y todos los detalles para CVE-2023-38545. Este problema es el peor problema de seguridad encontrado en curl en mucho tiempo. Se lo establece en gravedad ALTA(CVSS score 7.5). Mientras que el aviso contiene todos los detalles necesarios para cualquiera que se preocupe por entender cómo funciona esta falla y cómo sucedió.[1]

El proyecto Curl soluciona un error de alta gravedad en la omnipresente biblioteca libcurl (CVE-2023-38545) [2]. Usada de forma predeterminada en muchas distribuciones de Linux ( Debian , Ubuntu , Red Hat, entre otras).

Preparación para las actualizaciones de seguridad.

Hace poco más de una semana, el desarrollador principal Daniel Stenberg anunció el lanzamiento de la versión nueva de curl que incluiría parches para CVE-2023-38545 y CVE-2023-38546, un defecto de inyección de cookies.

Dado que curl (es decir, la biblioteca libcurl) es utilizado por una amplia variedad de sistemas operativos, aplicaciones y dispositivos IoT, encuentre todas las instancias de curl y libcurl en uso y haga un plan para aplicar parches en toda la institución.

El proyecto curl también ha compartido simultáneamente información sobre las fallas con desarrolladores de una variedad de Linux, Unix y distribuciones similares a Unix, para que puedan preparar parches/paquetes actualizados antes del lanzamiento de curl v8.4.0.

Versiones afectadas.

• CVE-2023-38545 afecta a curl y libcurl desde la versión 7.69.0 hasta la v8.3.0 (incluida).
• CVE-2023-38546, por otro lado, solo afecta a libcurl desde la versión 7.9.1 hasta (incluida) la v8.3.0, pero la probabilidad de que se explote es baja. "Incluso si se pudiera hacer que el error se activara, el riesgo de que se pueda realizar una inyección de cookie para causar daño también es bajo", dijeron los encargados del mantenimiento.

Recomendaciones.

El proyecto curl recomienda a los usuarios actualizar curl/libcurl a la versión 8.4.0 o parchear versiones anteriores, y ha compartido mitigaciones adicionales/alternativas en los avisos.

Referencia:

[1] https://hackerone.com/reports/2187833
[2] https://www.helpnetsecurity.com/2023/10/11/cve-2023-38545-socks5/

Tlp Clear 2023