ここ数日、サイバーセキュリティ コミュニティは XNUMX つのセキュリティ上の欠陥に関する大規模な暴露を心配して待っていました。その中には、カールの創設者ダニエル ステンバーグ氏によると、その中には「長い間で最悪のカール セキュリティ上の欠陥」である可能性が高いものが含まれていました。
Curl は、文字通り数十億のアプリケーション インスタンスに存在する、さまざまなプロトコル間でファイルを転送するための「仲介者」として使用されるオープン ソースのプロキシ解決ツールです。 オープンソース ライブラリの大規模な欠陥の示唆は、壊滅的な出来事の記憶を呼び起こしました。 log4jの欠陥 Cycode のセキュリティ研究責任者 Alex Ilgayev 氏は、「curl ライブラリの脆弱性は、2021 年前の Log4j インシデントよりも困難であることが判明するかもしれない」と懸念しています。
でも今日に続いて パッチとバグの詳細の公開、どちらの脆弱性も誇大宣伝に応えませんでした。
限られた数の Curl デプロイメントに影響を与える
最初の脆弱性、 ヒープベースのバッファオーバーフローの欠陥 CVE-2023-38545 に基づいて追跡され、データ破損またはリモート コード実行 (RCE) の可能性があるため、「高」の評価が割り当てられました。 アドバイザリーによると、問題はSOCKS5のプロキシハンドオフにあるという。
「curl 自体がアドレスを解決するのではなく、アドレス解決を可能にするために、curl がホスト名を SOCKS5 プロキシに渡すように要求された場合、ホスト名に指定できる最大長は 255 バイトです」と勧告には記載されています。 「ホスト名が 255 バイトより長いことが検出された場合、curl はローカル名解決に切り替え、代わりに解決されたアドレスをプロキシにのみ渡します。」
このバグにより、SOCKS5 ハンドシェイク中に間違った値が渡される可能性があります。
「バグにより、「ホストに名前を解決させる」ことを意味するローカル変数は、遅い SOCKS5 ハンドシェイク中に間違った値を取得する可能性があり、意図に反して、長すぎるホスト名がターゲット バッファにコピーされる可能性があります。そこで住所を解決しました」と勧告は付け加えた。
しかし、サイバーセキュリティ専門家のジェイク・ウィリアムズ氏は、高重大度の指定は導入の一部にのみ適用されると述べている。
「これは非常に限られた状況でのみ重大度が高くなります」とウィリアムズ氏は言う。 「ライブラリに脆弱性があるときに、そのライブラリがどのように使用されているかを知っていることが問題だと思います。 実装の最悪のシナリオを想定して CVE を割り当てる必要があります。」
2023 番目のカールのバグは CVE-38546-XNUMX で追跡されており、重大度の低い Cookie インジェクションの欠陥であり、curl 自体ではなく、libcurl ライブラリにのみ影響します。
「これは、セキュリティ デバイスやアプライアンス(信頼できないコンテンツを取得し、内部でカールを使用することが多い)にとってはより大きな問題だと思います」とアンディ ホーネゴールド氏は、カールのバグの詳細のリリースに反応した声明の中で述べた。 「スタンドアロンで使用する場合には大きな問題にはならないと思います。」
修正を誇大宣伝する危険性
技術的な詳細が公開される前に修正を誇大宣伝することは、サイバーセキュリティ チームの胸焼けを超えて、攻撃者に楽勝を与える可能性があります。 この例で、Williams 氏は、RedHat が正式なカールのリリースに先立って変更ログを更新したことを指摘し、脆弱性が以前に想定されていたほど危険なものであった場合、これによってパッチが適用されていないターゲットに関する重要な情報がサイバー攻撃者に与えられた可能性があります。
実際、シノプシスのマイク・マクガイア氏は、カールのアップデートに対する注目が高まることの危険性を認識し、それについて 9 月 XNUMX 日のブログに書きました。
「脆弱性に関する追加の詳細はないにもかかわらず、脅威アクターは間違いなく悪用の試みを開始するでしょう」とマクガイア氏は書いています。 「さらに、攻撃者が、脆弱なソフトウェアにパッチを当てようと急いでいるチームを利用して、マルウェアだらけのプロジェクトの偽の「修正」バージョンを投稿することも前例のないことではありません。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/vulnerabilities-threats/curl-bug-hype-fizzles-after-patching-reveal
- :持っている
- :は
- :not
- $UP
- 2021
- 7
- 9
- a
- 私たちについて
- それについて
- 従った
- 俳優
- 追加されました
- NEW
- さらに
- 住所
- 利点
- アドバイザリー
- 後
- 前
- 先んじて
- アレックス
- 許す
- 沿って
- an
- および
- 家電
- 申し込み
- 適用
- です
- AS
- 割り当てられた
- 想定される
- At
- 試み
- 注意
- BE
- き
- 始まる
- さ
- の間に
- ビッグ
- より大きい
- 億
- ブログ
- バッファ
- バッファオーバーフロー
- バグ
- by
- 缶
- 場合
- 壊滅的な
- 挑戦
- 変化する
- 状況
- コード
- コミュニティ
- コンテンツ
- 逆に
- 複写
- 腐敗
- 可能性
- シーブ
- サイバーセキュリティ
- 危険な
- 危険
- Daniel Mölk
- データ
- 日
- 配備
- 指定
- にもかかわらず
- 細部
- 検出された
- Devices
- ドン
- 行われ
- 原因
- 間に
- 簡単に
- さらに
- 実行
- エキスパート
- 悪用する
- 名
- 修正する
- 固定の
- 欠陥
- 欠陥
- フォロー中
- AIとMoku
- 分数
- から
- 2021から
- 取得する
- 受け
- 与えられた
- 持っていました
- ハンド
- 持ってる
- 持って
- ハイ
- フード
- host
- 認定条件
- HTML
- HTTPS
- 巨大な
- 誇大広告
- i
- if
- 影響
- 実装
- 重要
- in
- 事件
- 含まれました
- を取得する必要がある者
- インテル
- 意図
- 問題
- IT
- ITS
- 自体
- JPG
- ただ
- 知っている
- 長さ
- う
- 図書館
- ある
- 可能性が高い
- 限定的
- ローカル
- ログ
- ログ4j
- 長い
- 長い時間
- より長いです
- マルウェア
- man
- 大規模な
- 手段
- 思い出
- 真ん中
- かもしれない
- マイク
- 他には?
- 名
- どちらでもありません
- いいえ
- 今
- 数
- 10月
- of
- オフ
- 公式
- 頻繁に
- on
- ONE
- の
- 開いた
- オープンソース
- or
- でる
- が
- パス
- パス
- パッチ
- パッチ
- 補修
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- ポスト
- 潜在的な
- 現在
- 前に
- 問題
- プロジェクト
- プロトコル
- 受験する
- 代理
- 評価
- 反応
- リリース
- リリース
- リモート
- 研究
- 解像度
- 解決
- 解決中
- 明らかにする
- 謎の
- s
- 前記
- 見ました
- 言う
- シナリオ
- 二番
- セキュリティ
- セキュリティ欠陥
- 遅く
- ソフトウェア
- ソース
- スタンドアロン
- 明記
- ステートメント
- 取る
- ターゲット
- ターゲット
- チーム
- 技術的
- より
- それ
- そこ。
- 考える
- この
- 脅威
- 脅威アクター
- 時間
- 〜へ
- 今日
- あまりに
- ツール
- 転送
- 2
- 下
- 間違いなく
- アップデイト
- 更新しました
- 使用法
- つかいます
- 中古
- 値
- 変数
- さまざまな
- バージョン
- 非常に
- 脆弱性
- 脆弱な
- ました
- いつ
- which
- 意志
- ウィリアムズ
- win
- 心配して
- 最悪
- 間違った
- 書いた
- 年
- You
- ゼファーネット
