CVE-2024-9681

Versões do curl anteriores à 8.10.1

O problema está relacionado à implementação do mecanismo HSTS (HTTP Strict Transport Security) no utilitário curl. Quando o curl é solicitado a usar o HSTS, o tempo de expiração de um subdomínio pode sobrescrever a entrada de cache do domínio pai, fazendo com que ela termine mais cedo ou mais tarde do que o pretendido. Isso afeta o curl em aplicações que habilitam o HSTS e utilizam URLs com o esquema inseguro HTTP://, realizando transferências com hosts como x.example.com, bem como example.com, onde o primeiro host é um subdomínio do segundo. O resultado da ativação do bug é que os acessos HTTP a example.com são convertidos para HTTPS por um período diferente daquele solicitado pelo servidor de origem. Se example.com, por exemplo, deixar de oferecer suporte a HTTPS no momento do vencimento, o curl poderá então falhar ao acessar http://example.com até que o tempo limite (definido incorretamente) expire. Esse bug também pode fazer com que a entrada do domínio pai expire antes, fazendo com que o curl volte inadvertidamente para o HTTP não seguro mais cedo do que o pretendido.

Para resolver o problema, atualize o curl para a versão 8.10.1 ou posterior. Como solução temporária, considere restringir a influência dos subdomínios no cache HSTS dos domínios pai para minimizar o risco de exploração. Evite usar o esquema HTTP:// para transferências com hosts que tenham subdomínios e, em vez disso, use o esquema HTTPS:// para garantir conexões seguras.