El fallo de 20 años de Curl es resistente - de vuelta para otra corrección - CVE-2021-22925

Hace unas semanas se publicó la CVE-2021-22898. Afecta a curl/libcurl a partir de la versión 7.7, que data del 22 de marzo de 2001. Consistía en un fallo en la forma en que se analizaba una opción poco utilizada, CURLOPT_TELNETOPTIONS, que podía conducir a la filtración de datos. En ese momento, se produjo una corrección y se envió al código base de curl/libcurl, y se solucionó el problema. Hasta que apareció la CVE-2021-22925 el 21 de julio. Al parecer, la corrección inicial de la vulnerabilidad anterior no abordaba correctamente el problema, por lo que se ha producido una nueva corrección.

Este problema afecta a las versiones de curl 7.7 hasta 7.77.0, que son aproximadamente todas las versiones de curl incluidas por defecto en la mayoría de las distribuciones de Linux durante los últimos 20 años, excepto las versiones más recientes de las distribuciones que incluyen curl 7.78.0 (o superior).

El equipo de Extended Lifecycle Support de TuxCare ha preparado y ha comenzado a poner a disposición el nuevo parche para todas las distribuciones afectadas, a saber, CloudLinux 6, CentOS 6, OracleLinux 6 y Ubuntu 16.04.

El parche para la vulnerabilidad anterior abordaba una situación en la que se podía abusar de CURLOPT_TELNETOPTIONS y hacer que pasara datos no deseados al exterior del servidor. Sin embargo, omitía una segunda situación en la que esto también podía ocurrir y, por lo tanto, estaba incompleto.

La nueva corrección aborda ambas situaciones llamando correctamente a sscanf() al procesar las cadenas proporcionadas por las aplicaciones llamantes antes de enviar los datos al otro extremo de la conexión.

En este momento, no se conoce la existencia de exploits para este fallo, y la opción se utiliza muy raramente. Pero por otro lado, curl y libcurl son utilizados por muchas aplicaciones que no siempre anuncian su uso explícitamente. Por lo tanto, no deberías simplemente asumir que es seguro ignorar esta vulnerabilidad si no usas directamente esta opción, ya que alguna otra aplicación en el sistema podría estar haciendo justamente eso en algunas tareas en segundo plano.

Como curiosidad, la vulnerabilidad original, CVE-2021-22898, que solucionaba el mismo problema en exactamente el mismo código, corregía código que, en el momento en que se reveló, tenía 20 años y 2 meses de antigüedad. El actual descrito en este post, porque corrige, de nuevo, exactamente el mismo código, está, a todos los efectos, corrigiendo código que tiene 20 años y 4 meses. Si hubiera un concurso de este tipo, probablemente ambas competirían por el premio a "la vulnerabilidad que más tiempo lleva existiendo".

El equipo de TuxCare mantiene su compromiso de probar y corregir todas las vulnerabilidades conocidas en las distribuciones de Linux cubiertas por nuestro servicio de soporte extendido del ciclo de vida. Puede obtener más información sobre este y otros servicios TuxCare aquí.