CVE-2021-22897

Versões da libcurl de 7.61.0 a 7.76.1

O problema está relacionado à implementação do protocolo Transport Layer Security (TLS) na biblioteca libcurl, especificamente a erros nas configurações de segurança ao usar a configuração CURLOPT SSL CIPHER LIST. Isso pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas. O conjunto de chaves de criptografia selecionado é armazenado em uma única variável “estática” na biblioteca, o que pode fazer com que a última aplicação a definir as chaves acidentalmente controle o conjunto usado por todas as transferências, enfraquecendo significativamente a segurança do transporte.

Para as versões 7.61.0 a 7.76.1 da libcurl, considere desativar o uso da opção CURLOPT SSL CIPHER LIST até que um patch esteja disponível, como uma solução temporária para minimizar o risco de exploração. Restrinja o acesso à biblioteca Schannel TLS para reduzir a superfície de ataque. Evite usar transferências simultâneas com configurações de criptografia diferentes para impedir o controle acidental do conjunto de criptografia usado por todas as transferências. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.