Vulnerabilidad en libreria Libcurl/Curl

Publicado hace 11 meses 09-10-2023

Los desarrolladores del proyecto de transferencia de datos cURL están trabajando para corregir dos vulnerabilidades en el software, incluido un error de alta criticidad que afecta tanto a libcurl como a curl.

cURL proporciona una biblioteca (libcurl) y una herramienta de línea de comandos (curl) para transferir datos con sintaxis de URL y admite varios protocolos de red, incluidos SSL, TLS, HTTP, FTP, SMTP y más.

Las vulnerabilidades son conocidas como CVE-2023-38545 y CVE-2023-38546, y sus responsables advierten que la primera tiene una calificación de "alta gravedad" y podría considerarse una de las fallas más graves en la herramienta de código abierto.

“Estamos acortando el ciclo de lanzamiento y lanzaremos curl 8.4.0 el 11 de octubre, incluidas correcciones para un CVE de gravedad ALTA y uno de gravedad BAJA. El que tiene una calificación ALTA es probablemente el peor fallo de seguridad de rizos en mucho tiempo”, señalan los encargados del mantenimiento en un aviso.



Los detalles sobre la vulnerabilidad en sí y sobre las versiones de curl afectadas aún no se han revelado, pero los responsables dicen que todas las iteraciones lanzadas durante los "últimos años" son vulnerables.

El aviso se publicó antes de los parches para advertir a las organizaciones sobre la gravedad del error, de modo que puedan prepararse para las próximas actualizaciones.

También se notificaron las distribuciones de los miembros, para que puedan preparar parches.

"Nadie más obtiene detalles sobre estos problemas antes del 11 de octubre sin un contrato de soporte y una buena razón", dicen los desarrolladores de curl.
 

Recomendaciones

Debido a que la mayoría de sistemas operativos hacen uso de cURL, es de suma importancia aprovechar el tiempo de gracia que los desarrolladores están otorgando para identificar los activos que tienen una versión vulnerable de esta utilería/librería.
Llegado el 11 de octubre, la vulnerabilidad se dará a conocer y no tomará mucho tiempo para que la comunidad construya un exploit que explote las vulnerabilidades reflejadas en este documento.

Referencias

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 6 horas 19-09-2024

Broadcom ha publicado el pasado 17 de septiembre un aviso de seguridad en el que se mencionan 2 vulnerabilidades que afectan a su software de virtualización VMware. Específicamente, las vulnerabilidades son:  CVE-2024-38812, con un puntaje CVSS de 9.8, se cl......

Incidente de Seguridad Fortinet
Publicado hace 1 semana 12-09-2024

Fortinet, uno de los principales actores en el sector de la ciberseguridad, ha confirmado una violación de datos tras la afirmación de un atacante de haber sustraído archivos del servidor Microsoft SharePoint de la compañía. Como una de las emp......

Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024

Microsoft, al igual que otros fabricantes, calendariza sus noticias sobre seguridad cada segundo martes de cada mes, lo cual llaman "Patch Tuesday". En este mes de septiembre de 2024, publicó en su página de Security Update Guide su aviso sobre ciberseguri......

BOLETINES RECIENTES

...
Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 6 horas 19-09-2024
Leer más
...
Incidente de Seguridad Fortinet
Publicado hace 1 semana 12-09-2024
Leer más
...
Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024
Leer más