Pruebas de CVE-2021-22922 y CVE-2021-22923 / Soporte del ciclo de vida ampliado

Siguiendo con nuestra tendencia de probar todas las CVE que salen a la luz y que pueden afectar a las distribuciones de Linux cubiertas por nuestro Soporte de Ciclo de Vida Extendido, el equipo se puso a trabajar en CVE-2021-22922 y CVE-2021-22923.

Estas vulnerabilidades afectan a curl, una pieza de software que existe desde hace muchos años, incluida como componente en múltiples aplicaciones y distribuciones diferentes y que no es más que una gran y útil herramienta de transferencia de datos. Soporta diferentes protocolos, mecanismos de cifrado y arquitecturas, y esta versatilidad le ha valido incluso la distinción de ser utilizado fuera del planeta Tierra. Forma parte de la pila de software de un vehículo explorador marciano.

Esta publicidad, sin embargo, parece haber atraído también la atención de los investigadores de seguridad. Y nos alegramos de que le hayan echado un vistazo porque se están descubriendo nuevas vulnerabilidades para curl en código muy antiguo que ha estado en uso durante décadas y se ha asumido correcto durante todo este tiempo. Esta misma semana, se ha divulgado otra vulnerabilidad, y estaba presente en código que tiene más de 20 años. En el mundo de la informática, eso es como encontrar un dinosaurio vivo vagando por las calles hoy en día.

Si nos fijamos en CVE-2021-22922 y CVE-2021-22923, están relacionados con una opción incluida en curl, "-metalink". Esta característica permite a un servidor indicar a un cliente (en este caso, curl) ubicaciones alternativas donde encontrar un determinado contenido. Por ejemplo, para facilitar la distribución de contenidos indicando a un cliente, de forma transparente, una réplica geográficamente más cercana.

Resulta que, en el caso de CVE-2021-22922, si una réplica de un archivo determinado estaba comprometida y el contenido del archivo se sustituía por otra cosa, curl seguía descargando el archivo alterado, aunque ya no coincidiera con el hash del contenido presente en la lista metalink. Por lo tanto, este fallo podría conducir a la descarga de contenido malicioso, cogiendo al usuario desprevenido.

CVE-2021-22923 describe una vulnerabilidad en torno a cómo las credenciales utilizadas para descargar la información metalink original podrían ser enviadas de forma inadvertida y errónea al servidor espejo. Esto podría conducir a la divulgación no autorizada de dichas credenciales.

Actualmente no se conoce ningún código de explotación público para ambas vulnerabilidades.

Además, el equipo de TuxCare ha determinado que las versiones de curl incluidas en los sistemas soportados bajo su Extended Lifecycle Support NO están afectadas por estas vulnerabilidades, y por tanto no requieren ningún parche para tratarlas específicamente. El curl de EL6 no tiene esta opción, y en Ubuntu está desactivada por defecto.

Si está interesado en saber más sobre la Asistencia ampliada del ciclo de vida, u otros servicios TuxCare, puede encontrar más información aquí.

El equipo de TuxCare sigue comprobando todas las vulnerabilidades para que usted no tenga que hacerlo, ocupándose de la seguridad de Linux mientras usted se centra en las necesidades de su empresa.