Open Source im professionellen Einsatz

cURL: Schwachstelle bei TLS-Verbindungen

Eine Sicherheitslücke in der libcurl-Bibliothek hat zur Folge, dass ein entfernter Angreifer Daten mit dem Server austauschen kann, obwohl er eine falsche Authentifikation verwendet. Das Problem tritt im Zusammenhang mit TLS-Sessions auf. Hierbei kann es vorkommen, dass Libcurl eine TLS-Verbindung wieder aufbaut, auch wenn sich das Client-Zertifikat geändert hat. Der Wiederaufbau von TLS-Sessions ist so implementiert, dass nach dem Verlust einer Verbindung keine langwierigen Handshakes notwendig sind. Aufgrund des Fehlers führt kommt es aber nun zu keiner ordentlichen Authentifikation mehr, wenn das Zertifikat falsch ist. Neben der Libcurl-Bibliothek ist auch das cURL-Kommendozeilen-Tool anfällig für diese Sicherheitslücke.

Der Fehler entstand bei einer Umstrukturierung des TLS-Codes mitdem Ziel, HTTPS-Proxies zu unterstützen. Das ließ diesen alten Fehler im Programmcode wieder auftauchen. Betroffen sind die Versionen 7.52.0 bis 7.53.1. In der korrigierte Libcurl-Version wurde das TLS-Session-Resumption-Feature für Clients mit Zertifikation deaktiviert. Damit können beim TLS-Wiederaufbau keine alten Authentifikationsdaten mehr verwendet werden, wodurch die Lücke nicht mehr ausgenutzt werden kann.

comments powered by Disqus

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.