CVE-2020-8286

Versões do curl de 7.41.0 a 7.73.0

O problema está relacionado a uma verificação inadequada da revogação de certificados devido à verificação insuficiente da resposta OCSP. Isso permite que um invasor forneça uma resposta OCSP fraudulenta, podendo comprometer um servidor TLS e afetar a integridade dos dados. A vulnerabilidade está associada a erros no procedimento de autenticação de certificados. A opção CURLOPT SSL VERIFYSTATUS na libcurl, que oferece OCSP stapling, e a opção --cert-status ao usar a ferramenta curl, estão relacionadas a este problema. A vulnerabilidade poderia ser explorada por um invasor para fornecer uma resposta OCSP falsa que pareça legítima.

Para as versões 7.41.0 a 7.73.0 do curl, este problema foi resolvido com verificações aprimoradas, o que significa que a atualização para uma versão com essas verificações aprimoradas resolveria o problema. Como solução temporária, considere desativar o uso da opção CURLOPT SSL VERIFYSTATUS ou da opção --cert-status até que um patch esteja disponível. Restrinja o acesso ao processo de negociação TLS para minimizar o risco de exploração. Evite usar o recurso de verificação de resposta OCSP até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade, além de que verificações aprimoradas foram implementadas para resolver o problema.