Curl Bug Hype Gagal Setelah Patch Terungkap

Selama berhari-hari, komunitas keamanan siber telah menantikan pengungkapan besar mengenai dua kelemahan keamanan yang, menurut pendiri curl Daniel Stenberg, termasuk salah satu yang mungkin merupakan “kelemahan keamanan curl terburuk dalam jangka waktu yang lama.”

Curl adalah alat resolusi proxy sumber terbuka yang digunakan sebagai "perantara" untuk mentransfer file antara berbagai protokol, yang terdapat dalam miliaran contoh aplikasi. Dugaan adanya kelemahan besar pada perpustakaan sumber terbuka membangkitkan kenangan akan bencana tersebut cacat log4j mulai tahun 2021. Seperti yang dikhawatirkan oleh Alex Ilgayev, kepala penelitian keamanan di Cycode, “kerentanan di perpustakaan curl mungkin terbukti lebih menantang daripada insiden Log4j dua tahun lalu.”

Tapi mengikuti hari ini pengungkapan patch dan detail bug, tidak ada kerentanan yang sesuai dengan hype.

Mempengaruhi Penerapan Curl dalam Jumlah Terbatas

Kerentanan pertama, a kelemahan buffer overflow berbasis heap dilacak berdasarkan CVE-2023-38545, diberi peringkat “tinggi” karena potensi kerusakan data atau bahkan eksekusi kode jarak jauh (RCE). Masalahnya terletak pada penyerahan proxy SOCKS5, menurut penasihat tersebut.

“Ketika curl diminta untuk meneruskan nama host ke proksi SOCKS5 untuk memungkinkan penyelesaian alamat alih-alih dilakukan oleh curl itu sendiri, panjang maksimum nama host adalah 255 byte,” kata penasehat tersebut. “Jika nama host terdeteksi lebih panjang dari 255 byte, curl beralih ke penyelesaian nama lokal dan sebagai gantinya meneruskan alamat yang diselesaikan hanya ke proxy.”

Bug ini dapat menyebabkan penyerahan nilai yang salah selama jabat tangan SOCKS5.

“Karena bug, variabel lokal yang berarti 'biarkan host menentukan nama' bisa mendapatkan nilai yang salah selama jabat tangan SOCKS5 yang lambat, dan bertentangan dengan maksudnya, salin nama host yang terlalu panjang ke buffer target alih-alih hanya menyalin nama host alamat terselesaikan di sana,” penasehat itu menambahkan.

Namun, penetapan tingkat keparahan tinggi hanya berlaku pada sebagian kecil penerapan saja, kata pakar keamanan siber Jake Williams.

“Ini hanya merupakan tingkat keparahan yang tinggi dalam keadaan yang sangat terbatas,” kata Williams. “Saya pikir ini hanya masalah ketika Anda memiliki kerentanan perpustakaan, Anda tahu bagaimana perpustakaan itu digunakan. Anda harus menetapkan CVE dengan asumsi skenario terburuk untuk implementasi.”

Bug curl kedua, yang dilacak pada CVE-2023-38546, adalah kelemahan injeksi cookie dengan tingkat keparahan rendah yang hanya memengaruhi pustaka libcurl, bukan curl itu sendiri.

“Saya pikir ini adalah masalah yang lebih besar untuk perangkat dan peralatan keamanan (yang mengambil konten yang tidak tepercaya dan sering menggunakan curl di bawah tenda),” kata Andy Hornegold dalam sebuah pernyataan sebagai reaksi terhadap rilis rincian bug curl. “Saya tidak melihat ini menjadi masalah besar untuk penggunaan mandiri.”

Bahaya Melakukan Perbaikan

Selain menyusahkan tim keamanan siber, melakukan perbaikan sebelum rincian teknis dirilis dapat memberikan kemenangan mudah bagi pelaku ancaman. Dalam hal ini, Williams menunjukkan bahwa RedHat memperbarui log perubahannya sebelum rilis resmi curl, yang dapat memberikan informasi penting kepada penyerang siber mengenai target yang belum ditambal, seandainya kerentanannya sama berbahayanya dengan asumsi sebelumnya.

Memang benar, Mike McGuire dari Synopsys melihat bahaya dari peningkatan perhatian pada pembaruan curl dan menulis tentang hal itu di blog 9 Oktober.

“Meskipun tidak ada rincian tambahan tentang kerentanannya, pelaku ancaman pasti akan mulai melakukan upaya eksploitasi,” tulis McGuire. “Selain itu, sering kali penyerang memposting versi 'tetap' palsu dari sebuah proyek yang penuh dengan malware untuk memanfaatkan tim yang berusaha menambal perangkat lunak yang rentan.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/vulnerabilities-threats/curl-bug-hype-fizzles-after-patching-reveal