Se ha publicado un boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad en la librería libcurl y en la propia herramienta curl, que podría permitir a un atacante ejecutar código arbitrario en los sistemas afectados.

cURL y libcurl son una herramienta y librería para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.

El problema, con CVE-2017-9502, reside en un desbordamiento de búfer en el tratamiento de URLs 'file:' específicamente creadas y que podría permitir la ejecución de código arbitrario. El vulnerabilidad se da cuando una URL 'file:' sin el '//' que sigue a los dos puntos, o bien los sistemas configurados para usar 'file' como protocolo por defecto para las URLs que no especifican el protocolo y la ruta dada comienza con una letra de unidad (por ejemplo, 'C'). Dada la naturaleza de la vulnerabilidad se ven afectados los sistemas basados en DOS y Windows.

Se ven afectadas las versiones libcurl 7.53.0 hasta la 7.54.0 (incluidas).

Se ha publicado la versión 7.54.1 que soluciona esta vulnerabilidad y otros problemas no relacionados con la seguridad.

Disponible desde:

https://curl.haxx.se/docs/vuln-7.54.1.html

También se ha publicado un parche para evitar la vulnerabilidad:

https://curl.haxx.se/CVE-2017-9502.patch

Más Información:

cURL and libcurl

http://curl.haxx.se/

URL file scheme drive letter buffer overflow

https://curl.haxx.se/docs/adv_20170614.html

Antonio Ropero

[email protected]

Twitter: @aropero