Información sobre seguridad / 2021 / Información sobre seguridad -- DSA-4881-1 curl

Aviso de seguridad de Debian

DSA-4881-1 curl -- actualización de seguridad

Fecha del informe:

30 de mar de 2021

Paquetes afectados:

curl

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 965280, error 965281, error 968831, error 977161, error 977162, error 977163.
En el diccionario CVE de Mitre: CVE-2020-8169, CVE-2020-8177, CVE-2020-8231, CVE-2020-8284, CVE-2020-8285, CVE-2020-8286, CVE-2021-22876, CVE-2021-22890.

Información adicional:

Se descubrieron varias vulnerabilidades en cURL, una biblioteca para transferencia de URL:

• CVE-2020-8169

  Marek Szlagor informó de que se podía hacer que libcurl añadiera una parte de la contraseña al nombre de máquina antes de resolver este, revelando, potencialmente, el fragmento de contraseña por la red y al servidor o servidores DNS.

• CVE-2020-8177

  sn informó de que un servidor malicioso podía hacer que curl sobrescribiera un fichero local cuando se usaban las opciones -i (--include) y -J (--remote-header-name) en la misma línea de órdenes.

• CVE-2020-8231

  Marc Aldorasi informó de que libcurl podría usar la conexión equivocada cuando una aplicación que utiliza la API multi de libcurl activa la opción CURLOPT_CONNECT_ONLY, lo que podría dar lugar a fugas de información.

• CVE-2020-8284

  Varnavas Papaioannou informó de que un servidor malicioso podría usar la respuesta PASV para hacer que curl se conectara a una dirección IP y puerto arbitrarios, provocando, potencialmente, que curl extrajera información sobre servicios que, de otra manera, son privados y no son revelados.

• CVE-2020-8285

  xnynx informó de que libcurl podría quedarse sin espacio en la pila cuando se utiliza la funcionalidad de búsqueda de coincidencias con caracteres comodín FTP (CURLOPT_CHUNK_BGN_FUNCTION).

• CVE-2020-8286

  Se informó de que libcurl no verificaba que la respuesta OCSP correspondiera realmente al certificado cuyo estado se quería comprobar.

• CVE-2021-22876

  Viktor Szakats informó de que libcurl no quita las credenciales del usuario de la URL cuando rellena automáticamente el campo de cabecera Referer en peticiones HTTP salientes.

• CVE-2021-22890

  Mingtao Yang informó de que, cuando se utiliza un proxy HTTPS y TLS 1.3, libcurl podría malinterpretar los tickets de sesión provenientes del proxy HTTPS como si vinieran del servidor remoto. Esto podría permitir que un proxy HTTPS forzara a libcurl a utilizar el ticket de sesión equivocado para la máquina y, en consecuencia, a eludir la verificación del certificado TLS del servidor.

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 7.64.0-4+deb10u2.

Le recomendamos que actualice los paquetes de curl.

Para información detallada sobre el estado de seguridad de curl, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/curl