Inicio / Alerta Temprana / Avisos Seguridad / Validación errónea de certificados cURL

Validación errónea de certificados cURL

Fecha de publicación: 
19/05/2016
Importancia: 
4 - Alta
Recursos afectados: 

Versiones de libcurl desde la 7.21.0 hasta 7.48.0 inclusive.

Descripción: 

Vulnerabilidad en cURL que permite a un usuario remoto sortear la verificación de certificados en ciertos casos.

Solución: 

Actualizar a la versión 7.49.0

Detalle: 

Debido a una vulnerabilidad en la función *sslsethostname() de la biblioteca criptográfica mbedTLS/PolarSSL provoca que cURL no compruebe el certificado del servidor en conexiones TLS realizadas contra un host cuando se especifica mediante una IP o cuando expresamente se requiere usar utilizar SSLv3.