ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA10859
Vulnerabilidades de bypass de seguridad en cURL
Actualizado: 07/05/2018
Fecha de detección
?
08/03/2016
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades serias en cURL. Los usuarios malintencionados pueden explotar estas vulnerabilidades para eludir las restricciones de seguridad.

A continuación hay una lista completa de vulnerabilidades

  1. La vulnerabilidad de uso después de la liberación se puede aprovechar para controlar qué conexión se utiliza;
  2. Un manejo incorrecto de la reutilización de la conexión TLS puede explotarse de forma remota a través de manipulaciones de conexión para secuestrar la autenticación;
  3. Un manejo incorrecto del cambio de certificado TLS puede explotarse de forma remota a través de manipulaciones de conexión para eludir las restricciones de seguridad.

Detalles técnicos

La herramienta de línea de comandos curl también se ve afectada por estos defectos.

Todas las vulnerabilidades se encontraron en la biblioteca libcurl.

Productos afectados

Versiones cURL y libcurl anteriores a 7.50.1

Solución

Actualiza a la última versión o aplica parches
parche para CVE-2016-5421
parche para CVE-2016-5420
página de descarga cURL
parche para CVE-2016-5419

Notas informativas originales

cURL vulnerabilities table and advisories

Impactos
?
SB 
[?]
Productos relacionados
cURL
CVE-IDS
?

CVE-2016-5419
CVE-2016-5420
CVE-2016-5421


Enlace al original