BSI ha publicado el Aviso de seguridad de TI actual para cURL. Se han identificado varias vulnerabilidades. Puede obtener más información sobre los sistemas operativos y productos afectados, así como los números CVE, aquí en news.de.
Oficina Federal de La seguridad in der Informationstechnik (BSI) envió un informe de aviso de seguridad a cURL el 26 de octubre de 2022. El aviso enumera varias vulnerabilidades que permiten el ataque. Los sistemas operativos UNIX y Linux, así como los productos Ubuntu Linux, SUSE Linux y Open Source cURL se ven afectados por la vulnerabilidad. Esta advertencia se actualizó por última vez el 27/10/2022.
Múltiples vulnerabilidades reportadas para cURL – Riesgo: Alto
Nivel de riesgo: 3 (Alto)
Puntaje base CVSS: 8.6
Puntuación de tiempo CVSS: 7.5
Ataque Remoto: Si
El Sistema de Vulnerabilidad Común (CVSS) se utiliza para evaluar la gravedad de las vulnerabilidades de seguridad en los sistemas informáticos. El estándar CVSS permite la comparación de brechas de seguridad potenciales o reales en función de diferentes métricas para crear una lista de prioridades en consecuencia para iniciar contramedidas. Los atributos ‘ninguno’, ‘bajo’, ‘medio’, ‘alto’ y ‘crítico’ se utilizan para la gravedad de la vulnerabilidad. Key Score evalúa los requisitos básicos del ataque (incluida la autenticación, la complejidad, los privilegios y la interacción del usuario) y sus consecuencias. Con la puntuación de tiempo, las condiciones del marco que cambian con el tiempo se incluyen en la evaluación. La gravedad de la vulnerabilidad discutida aquí fue calificada como “alta” según CVSS con una puntuación de referencia de 8,6.
Error de cURL: efectos de ataque de TI
cURL es un programa cliente que permite compartir archivos usando múltiples protocolos como HTTP o FTP.
Un atacante remoto anónimo puede explotar varias vulnerabilidades de cURL para provocar la denegación de servicio, la divulgación de información u otros ataques no identificados.
Las vulnerabilidades se clasifican utilizando el sistema de identificación CVE (vulnerabilidades y exposiciones comunes) por números de serie individuales CVE-2022-32221, CVE-2022-35260, CVE-2022-42915, CVE-2022-42916.
Un vistazo rápido a los sistemas afectados por la vulnerabilidad cURL
Sistemas operativos
unix, linux
productos
Sistema operativo Ubuntu Linux (cpe://o:canonical:ubuntu_linux)
SUSE Linux (cpe://o:suse:suse_linux)
Curl de código abierto 7.85.0 (cpe://a:curl:curl)
Curl de código abierto 7.84.0 (cpe: /a: curl: curl)
cURL de código abierto < 7.86.0 (cpe: /a: curl: curl)
Recomendaciones generales para hacer frente a las vulnerabilidades de seguridad en la tecnología de la información
-
Los usuarios de las aplicaciones afectadas deben mantenerlas actualizadas. Cuando se conocen las vulnerabilidades, los fabricantes deben abordarlas lo más rápido posible mediante el desarrollo de un parche o una solución alternativa. Si hay parches de seguridad disponibles, instálelos inmediatamente.
-
Para obtener información, consulte las fuentes enumeradas en la siguiente sección. A menudo contienen más información sobre la última versión del software en cuestión, la disponibilidad de parches de seguridad o consejos sobre soluciones alternativas.
-
Si tiene alguna otra pregunta o no está seguro, comuníquese con el administrador responsable. Los oficiales de seguridad de TI deben verificar regularmente las fuentes mencionadas para ver si hay una nueva actualización de seguridad disponible.
Fuentes de actualizaciones, parches y soluciones
En este punto, hay otros enlaces con información sobre informes de errores, correcciones de seguridad y soluciones alternativas.
SUSE SUSE-SU-2022 Actualización de seguridad: 3773-1 del 26-10-2022 (27/10/2022)
Para más información, ver: https://lists.suse.com/pipermail/sle-security-updates/2022-October/012704.html
SUSE SUSE-SU-2022 Actualización de seguridad: 3785-1 del 27-10-2022 (27/10/2022)
Para más información, ver: https://lists.suse.com/pipermail/sle-security-updates/2022-October/012718.html
Aviso de seguridad de Ubuntu USN-5702-2 del 26 de octubre de 2022 (27/10/2022)
Para más información, ver: https://ubuntu.com/security/notices/USN-5702-2
Aviso de seguridad de Ubuntu USN-5702-1 con fecha 26-10-2022 (27/10/2022)
Para más información, ver: https://ubuntu.com/security/notices/USN-5702-1
SUSE SUSE-SU-2022 Actualización de seguridad: 3769-1 del 26-10-2022 (27/10/2022)
Para más información, ver: https://lists.suse.com/pipermail/sle-security-updates/2022-October/012696.html
SUSE SUSE-SU-2022 Actualización de seguridad: 3770-1 del 26-10-2022 (27/10/2022)
Para más información, ver: https://lists.suse.com/pipermail/sle-security-updates/2022-October/012697.html
SUSE SUSE-SU-2022 Actualización de seguridad: 3772-1 del 26-10-2022 (27/10/2022)
Para más información, ver: https://lists.suse.com/pipermail/sle-security-updates/2022-October/012708.html
SUSE SUSE-SU-2022 Actualización de seguridad: 3774-1 del 26-10-2022 (27/10/2022)
Para más información, ver: https://lists.suse.com/pipermail/sle-security-updates/2022-October/012702.html
Aviso de seguridad de Curl del 25-10-2022 (26/10/2022)
Para más información, ver: https://curl.se/docs/CVE-2022-42916.html
Aviso de seguridad de Curl del 25-10-2022 (26/10/2022)
Para más información, ver: https://curl.se/docs/CVE-2022-42915.html
Aviso de seguridad de Curl del 25-10-2022 (26/10/2022)
Para más información, ver: https://curl.se/docs/CVE-2022-32221.html
Aviso de seguridad de Curl del 25-10-2022 (26/10/2022)
Para más información, ver: https://curl.se/docs/CVE-2022-35260.html
Historial de versiones de esta alerta de seguridad
Esta es la tercera versión de este Aviso de seguridad de TI para cURL. Si se anuncian más actualizaciones, este texto se actualizará. Puede comprender los cambios realizados utilizando el siguiente historial de versiones.
2022-10-28 – Se agregaron referencias: FEDORA-2022-E9D65906C4, FEDORA-2022-39688A779D, FEDORA-2022-01FFDE372C
27/10/2022 – Se agregaron nuevas actualizaciones para SUSE y Ubuntu
26/10/2022 – Versión inicial
+++ Nota editorial: Este texto fue creado con soporte de IA basado en datos actuales de BSI. Aceptamos opiniones y comentarios en [email protected]. +++
Seguir Noticias.de Ya estoy en eso FacebookY el GorjeoY el Pinterest Y el YouTube? Aquí encontrarás las últimas noticias, los últimos videos y la línea directa del editor.
ROJ / news.de
“Nerd de la cerveza en general. Ninja independiente de las redes sociales. Aficionado al alcohol incurable. Propenso a ataques de apatía”.
More Stories
PS5: Se acerca una nueva actualización beta, estas nuevas funciones te están esperando
Google está cambiando la forma en que maneja las cookies en Chrome
La nueva versión LZ4 comprime más rápido gracias al multithreading