cURL, libcurl sérülékenysége

CH azonosító

CH-13824

Angol cím

cURL Initialization Error in CURLcode randit() Generates Weak or Non-Random Numbers

Felfedezés dátuma

2016.12.22.

Súlyosság

Közepes

Érintett rendszerek

cURL

Érintett verziók

cURL 7.52 (.0)
libcURL 7.52 (.0)

Összefoglaló

A cURL és a libcurl közepes kockázati besorolású sérülékenysége vált ismertté, amelyet kihasználva a támadó biztonsági szabályokat kerülhet meg. A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A biztonsági rést az érintett szoftverekben használt “randit()” függvény nem megfelelő véletlen szám generálása okozza, amely a szoftverek “digest” és az NTLM autentikációs funkciónak használatához szükséges. A sérülékenységet kihasználva a támadó akár szenszitív információkhoz is hozzáférhet. 

Megoldás

Frissítsen a legújabb verzióra