ASA-2019-00390 – curl: Injeção de código no mecanismo do Windows OpenSSL


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00390

Identificador(es)

ASA-2019-00390, CVE-2019-5443

Título

Injeção de código no mecanismo do Windows OpenSSL

Fabricante(s)

the Curl Project

Produto(s)

curl

Versão(ões) afetada(s)

curl para Windows versão anterior a 7.65.1_2

Versão(ões) corrigida(s)

curl para windows versão 7.65.1_2

Prova de conceito

Desconhecido

Descrição

Um usuário ou programa não privilegiado pode colocar código e um arquivo de configuração em um caminho não privilegiado conhecido (em c:/usr/local/) que fará com que o curl execute automaticamente o código (como um “mecanismo” openssl) na chamada. Se o curl for invocado por um usuário privilegiado, ela poderá fazer o que quiser.

Essa falha existe nos binários oficiais curl para windows construídos e hospedados pelo projeto curl (todas as versões até e incluindo 7.65.1_1). Ela não existe no executável de curl fornecido pela Microsoft, empacotado com o Windows 10. Ela possivelmente atambém existe em outras compilações de curl para Windows que usam o OpenSSL.

Detalhes técnicos

Esse bug se deveu em parte devido a opções de construção padrão inseguras no OpenSSL quando compiladas em uma compilação cruzada e em parte devido a uma mensagem de commit equivocada na consolidação de curl que tornou possível desabilitar esse recurso.

Esse bug não existe no código-fonte curl ou libcurl, mas nos scripts para a compilação do Windows.

Créditos

Rich Mirch

Referência(s)

Windows OpenSSL engine code injection
https://curl.haxx.se/docs/CVE-2019-5443.html

CVE-2019-5443
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5443

CVE-2019-5443
https://nvd.nist.gov/vuln/detail/CVE-2019-5443

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 23 setembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.