Últimos Cambios
	Blog personal: El hilo del laberinto

Desbordamiento de búfer en "cURL"

Última Actualización: 07 de Diciembre de 2.000 - Jueves

Las versiones de "cURL" previas a la 7.3 son vulnerables a un ataque de desbordamiento de búfer que permite ejecutar código arbitrario en el cliente.

"cURL" es una herramienta para descargar ficheros por Gopher, FTP y HTTP.

Las versiones de "cURL" previas a la 7.3 contienen un desbordamiento de búfer que permite tanto matar el cliente como ejecutar código arbitrario en la máquina del usuario que está utilizando el programa. El ataque debe realizarlo un servidor malicioso al que el usuario se conecta con "cURL". El ataque es más factible de lo que pudiera parecer, ya que se puede conseguir que un usuario acceda a un servidor malicioso empleando técnicas de ingeniería social, spam, etc. Pensemos, por ejemplo, en un mensaje en las "news" de Linux tipo "descargate gratis el nuevo Apache Pro 4.0".

El problema se localiza en el módulo FTP, cuando se recibe un código de error por parte del servidor.

Más información:

• cURL

• cURL Remote Buffer Overflow Vulnerability

• Desbordamiento de búfer en "cURL" (Página residente en Hispasec)
• Hispasec
• Artículos
• La Página de Jesús Cea Avión

©2000 jcea@jcea.es

Más información sobre los OpenBadges

Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS