Validación errónea de certificados cURL

Validación errónea de certificados cURL

Fecha: 19/05/2016

Descripción: 

Vulnerabilidad en cURL que permite a un usuario remoto sortear la verificación de certificados en ciertos casos.

Detalle: 

Debido a una vulnerabilidad en la función *sslsethostname() de la biblioteca criptográfica mbedTLS/PolarSSL provoca que cURL no compruebe el certificado del servidor en conexiones TLS realizadas contra un host cuando se especifica mediante una IP o cuando expresamente se requiere usar utilizar SSLv3.

http://cert.inteco.es/rss/Actualidad/Avisos_seguridad_tecnicos/?sectionID=1114384