cURL es una aplicación gratuita y de código abierto desarrollada para permitir la descarga de archivos desde línea de comando a través de varios protocolos de red diferentes como HTTP(S), FTP(S), TFTP, SCP, SFTP, Telnet, DICT, FILE y LDAP, entre otros muchos. Esta herramienta permite automatizar las descargas de manera que se pueda tanto descargar archivos fácilmente como simular una determinada cantidad de tráfico, por ejemplo, para probar la respuesta de un servidor bajo una determinada carga de trabajo.
cURL es una aplicación creada en 1997 y que a día de hoy es utilizada por un gran número de aplicaciones y herramientas para gestionar las transferencias de datos. Por ello, y más teniendo en cuenta el gran número de aplicaciones antiguas que se están viendo afectadas por distintas vulnerabilidades, es de vital importancia mantener al día esta herramienta y someterla a distintas auditorías con el fin de certificar que está libre de fallos que puedan comprometer las transferencias.
En la última actualización de cURL, el responsable del proyecto solucionó cerca de 12 vulnerabilidades en la herramienta, sin embargo, aún está lejos de ser perfecta. Por ello, recientemente ha pedido a la Mozilla Secure Open Source (SOS) que audite su software con el fin de poder conocer posibles vulnerabilidades aún presentes en la herramienta y poder solucionarlas con el fin de hacerlas lo más seguras posible.
La última versión de cURL esconde 9 vulnerabilidades que serán solucionadas en breve
Según el análisis publicado por Mozilla, esta herramienta esconde un total de 23 fallos y problemas, de los cuales 9 son fallos de seguridad. De estos 9 fallos, 4 han sido considerados como fallos de gravedad alta (y registrados como CVE-2016-8617, CVE-2016-8619, CVE-2016-8622 y CVE-2016-8623) y otros 4 de gravedad media.
A pesar de estos fallos, Cure53 asegura que se han llevado una impresión general sobre el estado de la seguridad y la solidez de la biblioteca cURL muy positiva y que, aunque tiene algunos fallos, estos se solucionarán en breve para hacer que esta herramienta sea mucho mejor y más segura en todos los aspectos.
La última versión de la librería, la 7.51.0, ya ha solucionado las 4 vulnerabilidades más graves y 3 de las de gravedad media, aunque aún queda trabajo por delante hasta solucionar el total de las 23 vulnerabilidades encontradas por el grupo Cure53 durante la auditoría de esta herramienta.
Poco a poco, las aplicaciones de toda la vida han adaptándose a los tiempos modernos y haciéndose cada vez más seguras, sin embargo, seguro que aún aparecen nuevas vulnerabilidades preocupantes en aplicaciones tan antiguas como cURL o, como recientemente, en Linux.
Fuente: https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
