Vulnerabilidades no curl expõem sistemas Ubuntu a roubo de credenciais e DoS
Múltiplas falhas de alta gravidade no curl afetam várias versões LTS do Ubuntu, podendo levar à exposição de credenciais, acesso não autorizado e negação de serviço.
TL;DR
- Várias vulnerabilidades no curl afetam múltiplos lançamentos LTS do Ubuntu, incluindo 14.04, 16.04, 18.04, 20.04, 24.04, 25.04 e 25.10.
- Os problemas variam desde vazamento de credenciais durante redirecionamentos HTTP até bugs de uso após liberação que podem permitir execução remota de código.
- Os administradores devem atualizar seus sistemas imediatamente para mitigar os riscos de roubo de dados e interrupção de serviços.
- Componentes afetados incluem manipulação de fluxos HTTP/2, respostas OCSP stapling, uso de arquivos .netrc e lógica de reutilização de conexões.
- As falhas foram reportadas por pesquisadores de segurança, incluindo Harry Sintonen, Hiroki Kurosawa, Joshua Rogers, Quac Tran e Osama Hamad.
O Ubuntu lançou atualizações de segurança para corrigir múltiplas vulnerabilidades no utilitário amplamente utilizado curl. Esses problemas abrangem diversas versões Long Term Support (LTS) e expõem os sistemas a riscos como divulgação de credenciais, negação de serviço e possível execução remota de código. Organizações que dependem do curl para operações de rede nesses ambientes Ubuntu devem priorizar a aplicação das correções.
As falhas decorrem do tratamento inadequado de redirecionamentos HTTP, lógica defeituosa de reutilização de conexões, limpeza insegura de memória em fluxos HTTP/2 e processamento incorreto de informações de status de certificados TLS. Cada vulnerabilidade foi descoberta independentemente e relatada de forma responsável por membros da comunidade de pesquisa de segurança, destacando a importância da supervisão contínua em ferramentas de código aberto.
Falhas na Autenticação e Tratamento de Redirecionamentos
- Uma falha na forma como o curl processa credenciais durante redirecionamentos HTTP ao usar arquivos .netrc pode permitir que atacantes roubem dados de autenticação (CVE-2024-11053).
- Este problema afeta o Ubuntu 14.04 LTS, 16.04 LTS e 18.04 LTS, exigindo atenção imediata dos mantenedores de sistemas legados.
Riscos de Segurança de Memória e Reutilização de Conexões
- Uma condição de uso após liberação (use-after-free) na limpeza de manipuladores de fluxo HTTP/2 pode levar à negação de serviço ou execução arbitrária de código (CVE-2026-10536), afetando o Ubuntu 24.04 LTS, 25.04 e 25.10.
- Validação inadequada de respostas OCSP stapling expõe sistemas a vazamentos de informação no Ubuntu 16.04 LTS e 18.04 LTS (CVE-2024-8096).
- A reutilização de conexões entre contextos de autenticação diferentes pode vazar credenciais ou permitir ações não autorizadas no Ubuntu 20.04 LTS (CVE-2026-5545).
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.