Összefoglaló
A cURL közepes kockázati besorolású sérülékenységei váltak ismertté, amelyeket kihasználva a támadónak biztonsági megkötések megkerülésére és adatmanipulációra nyílhat lehetősége. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A cURL és a libcurl TLS-kezeléssel összefüggő hibákat tartalmaz.
Az egyik biztonsági rést az okozza, hogy az érintett összetevő akkor is folytatja a TLS munkameneteket, miután a kliens tanúsítványa megváltozott. Emiatt egyes alkalmazások érvénytelen hitelesítéssel is képesek lehetnek műveletek végrehajtására, illetve adatok küldésére.
A másik sérülékenység miatt pedig a TLS kapcsolatok újrafelhasználása történhet meg abban az esetben is, ha a kliens tanúsítványa már érvénytelen.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Manipulation of dataSecurity bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Gyártói referencia: curl.haxx.se
Gyártói referencia: curl.haxx.se
CVE-2016-5419 - NVD CVE-2016-5419
CVE-2016-5420 - NVD CVE-2016-5420