Curl Bug Hype kuhisee paikannuksen jälkeen paljastaa

Curl Bug Hype kuhisee paikannuksen jälkeen paljastaa

Aikaleima: 11. lokakuuta 2023 4
Curl Bug Hype kuhisee paikannuksen jälkeen paljastaa PlatoBlockchain-tietotiedon. Pystysuuntainen haku. Ai.

Kyberturvallisuusyhteisö on jo päivien ajan odottanut innokkaasti suurta paljastusta kahdesta tietoturvavirheestä, joihin curlin perustajan Daniel Stenbergin mukaan sisältyi yksi, joka oli todennäköisesti "pahin tietoturvavirhe pitkään aikaan".

Curl on avoimen lähdekoodin välityspalvelimen ratkaisutyökalu, jota käytetään "välimiehenä" tiedostojen siirtämiseen eri protokollien välillä. Se on läsnä kirjaimellisesti miljardeissa sovellusesiintymissä. Ehdotus massiivisesta avoimen lähdekoodin kirjastovirheestä herätti muistoja katastrofista log4j vika vuodesta 2021. Kuten Cycoden turvallisuustutkimuksen johtaja Alex Ilgajev huolestui, "curl-kirjaston haavoittuvuus saattaa osoittautua haastavammaksi kuin Log4j-tapaus kaksi vuotta sitten."

Mutta tämän päivän jälkeen korjaustiedostojen ja virhetietojen paljastaminen, kumpikaan haavoittuvuus ei vastannut hypeä.

Vaikuttaa rajoitettuun määrään Curl-käyttötyksiä

Ensimmäinen vuln, a kasaan perustuva puskurin ylivuotovirhe jäljitetty CVE-2023-38545:llä, sille annettiin luokitus "korkea" mahdollisten tietojen vioittumisen tai jopa etäkoodin suorittamisen (RCE) vuoksi. Ongelma piilee SOCKS5-välityspalvelimen vaihdossa neuvonnan mukaan.

"Kun curlia pyydetään välittämään isäntänimi SOCKS5-välityspalvelimelle, jotta se voi ratkaista osoitteen sen sijaan, että se tekisi curlilla, isäntänimen enimmäispituus on 255 tavua", neuvonnassa todettiin. "Jos isäntänimen havaitaan olevan pidempi kuin 255 tavua, curl vaihtaa paikalliseen nimenratkaisuun ja välittää sen sijaan ratkaistun osoitteen vain välityspalvelimelle."

Virhe saattaa sallia väärän arvon luovuttamisen SOCKS5-kättelyn aikana.

"Virheestä johtuen paikallinen muuttuja, joka tarkoittaa "anna isännän ratkaista nimi", voi saada väärän arvon hitaan SOCKS5-kättelyn aikana, ja vastoin tarkoitusta kopioida liian pitkä isäntänimi kohdepuskuriin sen sijaan että kopioit vain ratkaistu osoite siellä", neuvoja lisäsi.

Korkean vakavuuden luokitus koskee kuitenkin vain murto-osaa käyttöönotoista, kyberturvallisuusasiantuntija Jake Williams sanoo.

"Tämä on erittäin vakava vain hyvin rajoitetuissa olosuhteissa", Williams sanoo. ”Mielestäni ongelmana on vain se, että kun sinulla on kirjaston haavoittuvuus, tiedät kuinka kirjastoa käytetään. Sinun on määritettävä CVE olettaen, että toteutus on pahin mahdollinen skenaario."

Toinen curl-virhe, jota jäljitetään tunnuksella CVE-2023-38546, on vähävakainen evästeen lisäysvirhe, joka vaikuttaa vain libcurl-kirjastoon, ei itse curliin.

"Luulen, että tämä on suurempi ongelma turvalaitteille ja laitteille (jotka hakevat epäluotettavaa sisältöä ja käyttävät usein kihartamista konepellin alla)," Andy Hornegold sanoi lausunnossaan vastauksena kiharavirheen yksityiskohtien julkistamiseen. "En näe sitä suurena ongelmana itsenäisessä käytössä."

Korjauksen hypetyksen vaarat

Kyberturvatiimien närästyksen lisäksi korjauskehitys ennen teknisten yksityiskohtien julkistamista voi antaa helpon voiton uhkatoimijoille. Tässä tapauksessa Williams huomauttaa, että RedHat päivitti muutoslokinsa ennen virallista curl-julkaisua, mikä olisi voinut antaa kyberhyökkääjille tärkeää tietoa korjaamattomista kohteista, jos haavoittuvuus olisi ollut yhtä vaarallinen kuin aiemmin oletettiin.

Todellakin, Mike McGuire ja Synopsys näkivät kiharan päivityksen lisääntyneen huomion vaarat ja kirjoitti siitä 9. lokakuuta blogissaan.

"Vaikka heillä ei ole lisätietoja haavoittuvuudesta, uhkatoimijat alkavat epäilemättä käyttää hyväksikäyttöyrityksiä", McGuire kirjoitti. "Lisäksi ei ole ennenkuulumatonta, että hyökkääjät lähettävät vääriä "korjattuja" versioita projektista, joka on täynnä haittaohjelmia, hyödyntääkseen tiimejä, jotka pyrkivät korjaamaan haavoittuvia ohjelmistoja."

Aikaleima:

Lisää aiheesta Pimeää luettavaa