Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/02/2013
Volema ha informado de una vulnerabilidad en cURL/libcURL, que podría ser explotada por atacantes maliciosos para comprometer el sistema de un usuario.
La vulnerabilidad está provocada por un error de límites en la función "Curl_sasl_create_digest_md5_message()" (lib/curl_sasl.c) cuando se negocia la autenticación SASL DIGEST-MD5 y podría ser aprovechada para provocar un desbordamiento de la pila.
Una explotación con éxito podría permitir la ejecución de código arbitrario pero es necesario engañar al usuario a que se conecte a un servidor malicioso.
Esta vulnerabilidad está reportada para las versiones entre 7.26.0 y 7.28.1.
Sistemas Afectados:cURL 7.x
Referencias:CVE-2013-0249
Solución:Actualizar a la versión 7.29.0.
Notas:cURL:
http://curl.haxx.se/docs/adv_20130206.html
Volema
http://blog.volema.com/curl-rce.htm