নিরাপত্তা দলগুলিকে মোকাবেলার জন্য সংকট মোডে যেতে হবে না কমান্ড-লাইন টুল কার্ল এবং libcurl লাইব্রেরিতে সাম্প্রতিক দুর্বলতাগুলি সংশোধন করা হয়েছে, কিন্তু এর অর্থ এই নয় যে তাদের প্রভাবিত সিস্টেমগুলি সনাক্তকরণ এবং প্রতিকার করার বিষয়ে চিন্তা করতে হবে না৷ যদি সিস্টেমগুলি অবিলম্বে শোষণযোগ্য না হয়, নিরাপত্তা দলগুলির কাছে সেই আপডেটগুলি করার জন্য কিছু সময় থাকে।
এই টেক টিপ নিরাপত্তা দলগুলিকে ঝুঁকিতে না হয় তা নিশ্চিত করতে কী করতে হবে সে বিষয়ে নির্দেশিকা একত্রিত করে৷
ইউনিক্স এবং লিনাক্স সিস্টেমের জন্য একটি ভিত্তিগত নেটওয়ার্কিং টুল, সিআরএল ডেটা স্থানান্তর করতে কমান্ড লাইন এবং স্ক্রিপ্টগুলিতে ব্যবহৃত হয়। এর ব্যাপকতা এই কারণে যে এটি একটি স্বতন্ত্র ইউটিলিটি (কার্ল) এবং সেইসাথে একটি লাইব্রেরি হিসাবে ব্যবহৃত হয় যা বিভিন্ন ধরণের অ্যাপ্লিকেশন (লিবকারল) এর অন্তর্ভুক্ত। libcurl লাইব্রেরি, যা ডেভেলপারদের তাদের নিজস্ব কোড থেকে কার্ল এপিআই অ্যাক্সেস করতে দেয়, সরাসরি কোডে প্রবর্তন করা যেতে পারে, একটি নির্ভরতা হিসাবে ব্যবহৃত হয়, একটি অপারেটিং সিস্টেম বান্ডেলের অংশ হিসাবে ব্যবহৃত হয়, একটি ডকার কন্টেইনারের অংশ হিসাবে অন্তর্ভুক্ত, বা একটি কুবারনেটস ক্লাস্টার নোড।
CVE-2023-38545 কি?
উচ্চ তীব্রতা দুর্বলতা কার্ল এবং libcurl প্রভাবিত করে সংস্করণ 7.69.0 থেকে 8.3.0, এবং কম তীব্রতার দুর্বলতা libcurl সংস্করণ 7.9.1 থেকে 8.3.0-কে প্রভাবিত করে। যাইহোক, ডিফল্ট অবস্থার অধীনে দুর্বলতাগুলিকে কাজে লাগানো যায় না। দুর্বলতা ট্রিগার করার চেষ্টাকারী একজন আক্রমণকারীকে আক্রমণকারীর নিয়ন্ত্রণে থাকা একটি দূষিত সার্ভারে কার্ল নির্দেশ করতে হবে, নিশ্চিত করুন যে কার্ল প্রক্সি-রিসোলভার মোড ব্যবহার করে একটি SOCKS5 প্রক্সি ব্যবহার করছে, স্বয়ংক্রিয়ভাবে পুনঃনির্দেশগুলি অনুসরণ করতে কার্ল কনফিগার করুন এবং বাফারের আকারকে ছোট করুন আকার
অনুসারে ইয়ার মিজরাহী, JFrog-এর একজন সিনিয়র নিরাপত্তা গবেষক, libcurl লাইব্রেরি ঝুঁকিপূর্ণ কেবল যদি নিম্নলিখিত পরিবেশ ভেরিয়েবল সেট করা হয়: CURLOPT_PROXYTYPE টাইপ করতে সেট করুন CURLPROXY_SOCKS5_HOSTNAME; অথবা CURLOPT_PROXY or CURLOPT_PRE_PROXY স্কিম সেট মোজা 5h://. প্রক্সি এনভায়রনমেন্ট ভেরিয়েবলের একটি ব্যবহার করার জন্য সেট করা থাকলে লাইব্রেরিটিও ঝুঁকিপূর্ণ মোজা 5h:// পরিকল্পনা. কমান্ড-লাইন টুল শুধুমাত্র যদি এটির সাথে কার্যকর করা হয় তবেই দুর্বল -সক্স5-হোস্টনাম পতাকা, বা সঙ্গে -প্রক্সি (-x) বা -প্রিপ্রক্সি স্কিম ব্যবহার করতে সেট করুন মোজা 5h://. প্রভাবিত পরিবেশ ভেরিয়েবলের সাথে কার্ল কার্যকর করা হলে এটিও ঝুঁকিপূর্ণ।
“একটি যন্ত্রকে দুর্বল করার জন্য প্রয়োজনীয় পূর্ব-শর্তের সেট (আগের বিভাগটি দেখুন) প্রাথমিকভাবে বিশ্বাস করা তুলনায় আরো সীমাবদ্ধ। অতএব, আমরা বিশ্বাস করি কার্ল ব্যবহারকারীদের সিংহভাগ এই দুর্বলতার দ্বারা প্রভাবিত হবে না,” মিজরাহি বিশ্লেষণে লিখেছেন।
দুর্বল সিস্টেমের জন্য পরিবেশ স্ক্যান করুন
সংস্থাগুলিকে প্রথমে যে কাজটি করতে হবে তা হল তাদের পরিবেশের সুযোগ তৈরি করা যাতে কার্ল এবং libcurl ব্যবহার করে সমস্ত সিস্টেম শনাক্ত করা যায় যাতে এই পূর্বশর্তগুলি বিদ্যমান কিনা। সাইকোড-এর নিরাপত্তা গবেষণার প্রধান অ্যালেক্স ইলগায়েভ নোট, স্ক্যানিং কন্টেইনার এবং অ্যাপ্লিকেশন সুরক্ষা ভঙ্গি ব্যবস্থাপনা ইউটিলিটিগুলির জন্য সফ্টওয়্যার রচনা বিশ্লেষণ সরঞ্জাম ব্যবহার করে সংস্থাগুলির তাদের সিস্টেমগুলি তালিকাভুক্ত করা এবং তাদের সফ্টওয়্যার বিতরণ প্রক্রিয়াগুলি মূল্যায়ন করা উচিত৷ যদিও দুর্বলতা কার্লের প্রতিটি বাস্তবায়নকে প্রভাবিত করে না, তবে প্রভাবিত সিস্টেমগুলি সনাক্ত করা সহজ হবে যদি দলটি সম্ভাব্য অবস্থানগুলির একটি তালিকা দিয়ে শুরু করে।
নিম্নলিখিত কমান্ডগুলি কার্লের কোন সংস্করণগুলি ইনস্টল করা হয়েছে তা সনাক্ত করে:
লিনাক্স/ম্যাকোস:
খুঁজুন / -নাম কার্ল 2>/dev/null -exec ইকো "পাওয়া গেছে: {}" ; -exec {} --version ;
উইন্ডোজ:
Get-ChildItem -Path C: -Recurse -ErrorAction Silently Continue -Filter curl.exe | প্রতিটি-অবজেক্টের জন্য { লিখুন-হোস্ট "পাওয়া গেছে: $($_.ফুলনাম)"; & $_.FullName --version }
GitHub আছে একটি এন্ডপয়েন্টের জন্য ডিফেন্ডারে চালানোর জন্য প্রশ্ন কার্ল ইনস্টল করা বা কার্ল ব্যবহার করা পরিবেশের সমস্ত ডিভাইস সনাক্ত করতে। কোয়ালিস তার নিয়ম প্রকাশ করেছে এর প্ল্যাটফর্ম ব্যবহার করার জন্য।
ডকার কন্টেইনার বা অন্যান্য কন্টেইনার প্রযুক্তি ব্যবহার করা সংস্থাগুলিকেও দুর্বল সংস্করণগুলির জন্য ছবিগুলি স্ক্যান করা উচিত। প্রচুর সংখ্যক পুনর্নির্মাণের আশা করা হচ্ছে, বিশেষ করে ডকার ইমেজ এবং অনুরূপ সত্ত্বাগুলিতে যা liburl কপিগুলিকে অন্তর্ভুক্ত করে। ডকার একসাথে টানা হয়েছে নির্দেশাবলীর একটি তালিকা সমস্ত ইমেজ মূল্যায়ন উপর.
বিদ্যমান সংগ্রহস্থল খুঁজে পেতে:
ডকার স্কাউট রেপো সক্ষম --org /স্কাউট-ডেমো
স্থানীয় ধারক চিত্র বিশ্লেষণ করতে:
ডকার স্কাউট নীতি [IMAGE] --org [ORG]
এন্ডোর ল্যাবসের নিরাপত্তা গবেষক হেনরিক প্লেটের মতে, এই সমস্যাটি একটি প্রতিষ্ঠানে ব্যবহৃত সমস্ত ওপেন সোর্স সফ্টওয়্যারগুলির যত্নশীল ট্র্যাক রাখার গুরুত্ব তুলে ধরে।
"কারল এবং libcurl-এর সমস্ত ব্যবহার সম্পর্কে জানা হল প্রকৃত ঝুঁকির মূল্যায়ন এবং প্রতিকারের পদক্ষেপ নেওয়ার পূর্বশর্ত, এটি কার্ল প্যাচ করা, অবিশ্বস্ত নেটওয়ার্কগুলি থেকে প্রভাবিত সিস্টেমগুলিতে অ্যাক্সেস সীমিত করা, বা অন্যান্য পাল্টা ব্যবস্থা প্রয়োগ করা হোক," প্লেট বলেছে৷
যদি অ্যাপ্লিকেশনটি উপকরণের একটি সফ্টওয়্যার বিল নিয়ে আসে, তবে এটি কার্ল-এর উদাহরণগুলি সন্ধান করা শুরু করার জন্য একটি ভাল জায়গা হবে, ভায়াকু ল্যাবসের ভাইস প্রেসিডেন্ট জন গ্যালাঘের যোগ করেছেন।
শুধুমাত্র ত্রুটিগুলি শোষণযোগ্য নয় তার মানে এই নয় যে আপডেটগুলি প্রয়োজনীয় নয়৷ প্যাচ উপলব্ধ সরাসরি কার্ল এবং libcurl এর জন্য, এবং অনেক অপারেটিং সিস্টেম (ডেবিয়ান, উবুন্টু, রেড হ্যাট, ইত্যাদি) ফিক্সড ভার্সনও পুশ করেছে। অন্যান্য অ্যাপ্লিকেশন থেকে নিরাপত্তা আপডেটের জন্য নজর রাখুন, কারণ libcurl হল একটি লাইব্রেরি যা অনেক অপারেটিং সিস্টেম এবং অ্যাপ্লিকেশন দ্বারা ব্যবহৃত হয়।
JFrog-এর মিজরাহি অনুসারে, আপডেটগুলি স্থাপন করা না হওয়া পর্যন্ত একটি সমাধান হল একটি SOCKS5 প্রক্সিতে সংযোগ করার সময় স্থানীয় হোস্টনাম সমাধান ব্যবহার করতে কার্লকে বাধ্য করা। এই সিনট্যাক্সটি socks5 স্কিম ব্যবহার করে এবং socks5h নয়: curl -x socks5://someproxy.com. লাইব্রেরিতে, পরিবেশ পরিবর্তনশীল প্রতিস্থাপন করুন CURLPROXY_SOCKS5_HOSTNAME সঙ্গে CURLPROXY_SOCKS5.
বেঞ্জামিন মারের মতে, একজন নিরাপত্তা প্রকৌশলী অনধিকারপ্রবেশকারী, নিরাপত্তা দলগুলিকে অত্যধিক বড় স্ট্রিংগুলির জন্য কার্ল পতাকাগুলি পর্যবেক্ষণ করা উচিত, কারণ এটি নির্দেশ করে যে সিস্টেমটি আপস করা হয়েছে৷ পতাকাগুলো হলো -সক্স5-হোস্টনাম, বা -প্রক্সি or -প্রিপ্রক্সি স্কিম ব্যবহার করতে সেট করুন মোজা 5h://.
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/dr-tech/how-to-scan-environment-vulnerable-curl
- : আছে
- : হয়
- :না
- 1
- 7
- 8
- 9
- a
- সম্পর্কে
- প্রবেশ
- অনুযায়ী
- স্টক
- আসল
- ঠিকানা
- যোগ করে
- প্রভাবিত
- সমষ্টি
- Alex
- সব
- অনুমতি
- এছাড়াও
- an
- বিশ্লেষণ
- বিশ্লেষণ করা
- এবং
- API গুলি
- আবেদন
- অ্যাপ্লিকেশন নিরাপত্তা
- অ্যাপ্লিকেশন
- রয়েছি
- AS
- পরিমাপ করা
- পরিমাপন
- At
- স্বয়ংক্রিয়ভাবে
- সহজলভ্য
- BE
- কারণ
- হয়েছে
- হচ্ছে
- বিশ্বাস করা
- বিশ্বাস
- বেঞ্জামিন
- বিল
- উভয়
- বাফার
- পাঁজা
- কিন্তু
- by
- CAN
- না পারেন
- গুচ্ছ
- কোড
- আসে
- গঠন
- সংকটাপন্ন
- পরিবেশ
- সংযোজক
- আধার
- কন্টেনারগুলি
- নিয়ন্ত্রণ
- সঙ্কট
- উপাত্ত
- ডিফল্ট
- বিলি
- বশ্যতা
- মোতায়েন
- ডেভেলপারদের
- ডিভাইস
- বিভিন্ন
- সরাসরি
- do
- ডকশ্রমিক
- না
- doesn
- না
- ডন
- Dont
- কারণে
- সহজ
- প্রতিধ্বনি
- সক্ষম করা
- প্রকৌশলী
- নিশ্চিত করা
- সত্ত্বা
- পরিবেশ
- পরিবেশের
- ইত্যাদি
- মূল্যায়ন
- এমন কি
- প্রতি
- নিষ্পন্ন
- থাকা
- বিদ্যমান
- প্রত্যাশিত
- শোষিত
- চোখ
- সত্য
- আবিষ্কার
- প্রথম
- স্থায়ী
- পতাকা
- সংক্রান্ত ত্রুটিগুলি
- অনুসরণ করা
- অনুসরণ
- জন্য
- বল
- পাওয়া
- থেকে
- ভাল
- পথপ্রদর্শন
- ছিল
- হয়েছে
- আছে
- মাথা
- উচ্চ
- হাইলাইট
- কিভাবে
- কিভাবে
- যাহোক
- HTTPS দ্বারা
- সনাক্ত করা
- চিহ্নিতকরণের
- if
- ভাবমূর্তি
- চিত্র
- অবিলম্বে
- প্রভাব
- প্রভাব
- বাস্তবায়ন
- বাস্তবায়ন
- গুরুত্ব
- in
- অন্তর্ভুক্ত
- নিগমবদ্ধ
- ইঙ্গিত
- প্রাথমিকভাবে
- ইনস্টল
- মধ্যে
- উপস্থাপিত
- জায়
- সমস্যা
- IT
- এর
- জন
- JPG
- রাখা
- পালন
- ল্যাবস
- বড়
- লাইব্রেরি
- লাইন
- লিনাক্স
- তালিকা
- স্থানীয়
- অবস্থানগুলি
- দেখুন
- খুঁজছি
- কম
- মেশিন
- সংখ্যাগুরু
- করা
- ব্যবস্থাপনা
- অনেক
- উপকরণ
- গড়
- সাবধানী
- মোড
- পর্যবেক্ষণ
- অধিক
- প্রয়োজনীয়
- প্রয়োজন
- প্রয়োজন
- নেটওয়ার্কিং
- নেটওয়ার্ক
- নোড
- নোট
- সংখ্যা
- of
- on
- ONE
- কেবল
- খোলা
- ওপেন সোর্স
- অপারেটিং
- অপারেটিং সিস্টেম
- অপারেটিং সিস্টেম
- or
- ক্রম
- সংগঠন
- সংগঠন
- অন্যান্য
- বাইরে
- নিজের
- অংশ
- বিশেষত
- প্যাচ
- প্যাচিং
- জায়গা
- মাচা
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- বিন্দু
- নীতি
- সম্ভাব্য
- সভাপতি
- আগে
- প্রসেস
- প্রক্সি
- প্রকাশিত
- ধাক্কা
- লাল
- লাল টুপি
- প্রতিস্থাপন করা
- গবেষণা
- গবেষক
- সমাধানে
- সীমাবদ্ধ
- সীমাবদ্ধ
- ঝুঁকি
- চালান
- বলেছেন
- স্ক্যান
- স্ক্যানিং
- পরিকল্পনা
- সুযোগ
- ঘৃণাসহকারে প্রত্যাখ্যান করা
- স্ক্রিপ্ট
- অধ্যায়
- নিরাপত্তা
- দেখ
- জ্যেষ্ঠ
- সার্ভার
- সেট
- উচিত
- অনুরূপ
- বড়
- আয়তন
- ক্ষুদ্রতর
- সফটওয়্যার
- সফ্টওয়্যার বিল
- কিছু
- উৎস
- স্বতন্ত্র
- শুরু
- শুরু
- নিশ্চিত
- দোল
- বাক্য গঠন
- পদ্ধতি
- সিস্টেম
- গ্রহণ
- টীম
- দল
- প্রযুক্তি
- প্রযুক্তি
- চেয়ে
- যে
- সার্জারির
- তাদের
- অতএব
- তারা
- জিনিস
- এই
- সেগুলো
- যদিও?
- সময়
- ডগা
- থেকে
- একসঙ্গে
- টুল
- সরঞ্জাম
- পথ
- হস্তান্তর
- ট্রিগার
- চেষ্টা
- ধরনের
- উবুন্টু
- অধীনে
- UNIX
- পর্যন্ত
- আপডেট
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহারসমূহ
- ব্যবহার
- ইউটিলিটি
- উপযোগ
- পরিবর্তনশীল
- সুবিশাল
- সংস্করণ
- ভাইস
- উপরাষ্ট্রপতি
- দুর্বলতা
- দুর্বলতা
- জেয়
- we
- আমরা একটি
- কি
- কখন
- কিনা
- যে
- সঙ্গে
- চিন্তা
- would
- লিখেছেন
- আপনার
- zephyrnet