cURL sérülékenységek

CH azonosító

CH-13466

Angol cím

cURL vulnerabilities

Felfedezés dátuma

2016.08.02.

Súlyosság

Közepes

Érintett rendszerek

Haxx
cURL

Érintett verziók

cURL
libcurl

Összefoglaló

A cURL közepes kockázati besorolású sérülékenységei váltak ismertté, amelyeket kihasználva a támadónak biztonsági megkötések megkerülésére és adatmanipulációra nyílhat lehetősége. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A cURL és a libcurl TLS-kezeléssel összefüggő hibákat tartalmaz.

Az egyik biztonsági rést az okozza, hogy az érintett összetevő akkor is folytatja a TLS munkameneteket, miután a kliens tanúsítványa megváltozott. Emiatt egyes alkalmazások érvénytelen hitelesítéssel is képesek lehetnek műveletek végrehajtására, illetve adatok küldésére.

A másik sérülékenység miatt pedig a TLS kapcsolatok újrafelhasználása történhet meg abban az esetben is, ha a kliens tanúsítványa már érvénytelen.

Megoldás

Frissítsen a legújabb verzióra