며칠 동안 사이버 보안 커뮤니티는 Curl 창립자 Daniel Stenberg에 따르면 "오랫동안 최악의 컬 보안 결함"일 가능성이 있는 보안 결함이 포함된 두 가지 보안 결함에 대한 큰 공개를 초조하게 기다려 왔습니다.
Curl은 문자 그대로 수십억 개의 애플리케이션 인스턴스에 존재하는 다양한 프로토콜 간에 파일을 전송하는 "중개자"로 사용되는 오픈 소스 프록시 확인 도구입니다. 대규모 오픈 소스 라이브러리 결함에 대한 제안은 재앙적인 기억을 불러일으켰습니다. log4j 결함 Cycode의 보안 연구 책임자인 Alex Ilgayev는 "curl 라이브러리의 취약점은 2021년 전 Log4j 사건보다 더 어려운 것으로 판명될 수 있습니다."라고 걱정했습니다.
하지만 오늘에 이어 패치 및 버그 세부 정보 공개, 어느 취약점도 과대 광고에 부응하지 못했습니다.
제한된 수의 Curl 배포에 영향을 미침
첫 번째 취약점, 힙 기반 버퍼 오버플로 결함 CVE-2023-38545로 추적된 이 파일은 데이터 손상이나 원격 코드 실행(RCE) 가능성으로 인해 "높음" 등급으로 지정되었습니다. 권고에 따르면 문제는 SOCKS5 프록시 핸드오프에 있습니다.
“curl 자체가 주소를 확인하는 대신 주소를 확인할 수 있도록 컬이 호스트 이름을 SOCKS5 프록시에 전달하도록 요청하는 경우 호스트 이름의 최대 길이는 255바이트입니다.”라고 권고문은 명시했습니다. "호스트 이름이 255바이트보다 긴 것으로 감지되면 컬은 로컬 이름 확인으로 전환하고 대신 확인된 주소를 프록시에만 전달합니다."
이 버그로 인해 SOCKS5 핸드셰이크 중에 잘못된 값이 전달될 수 있습니다.
“버그로 인해 '호스트가 이름을 확인하도록 허용'을 의미하는 로컬 변수가 느린 SOCKS5 핸드셰이크 중에 잘못된 값을 얻을 수 있으며, 의도와는 달리 너무 긴 호스트 이름을 대상 버퍼에 복사합니다. 그곳에서 주소가 해결되었습니다.”라고 권고는 덧붙였습니다.
그러나 높은 심각도 지정은 배포의 일부에만 적용된다고 사이버 보안 전문가인 Jake Williams는 말합니다.
Williams는 “이는 매우 제한된 상황에서만 심각도가 높은 수준입니다.”라고 말합니다. “라이브러리 취약점이 있을 때 라이브러리가 어떻게 사용되고 있는지 아는 것이 문제라고 생각합니다. 구현을 위해서는 최악의 시나리오를 가정하여 CVE를 할당해야 합니다.”
CVE-2023-38546으로 추적된 두 번째 컬 버그는 컬 자체가 아닌 libcurl 라이브러리에만 영향을 미치는 심각도가 낮은 쿠키 주입 결함입니다.
앤디 호네골드는 컬 버그 세부 정보 공개에 대한 반응으로 “신뢰할 수 없는 콘텐츠를 가져오고 종종 내부적으로 컬을 사용하는 보안 장치와 가전제품에 더 큰 문제라고 생각합니다.”라고 말했습니다. "독립형 사용에는 큰 문제가 되지 않습니다."
수정을 과대광고하는 것의 위험
사이버 보안 팀의 속쓰림을 넘어 기술 세부 사항이 공개되기 전에 수정 사항을 홍보하면 위협 행위자에게 쉽게 승리할 수 있습니다. 이 사례에서 Williams는 RedHat이 공식 컬 릴리스에 앞서 변경 로그를 업데이트했다고 지적합니다. 이는 취약점이 이전에 가정했던 것만큼 위험했다면 사이버 공격자에게 패치되지 않은 대상에 대한 중요한 정보를 제공할 수 있었을 것입니다.
실제로 Synopsys의 Mike McGuire는 컬 업데이트에 대한 과도한 관심의 위험성을 확인하고 이에 대해 9월 XNUMX일 블로그에 썼습니다.
McGuire는 “취약성에 대한 추가 세부 정보가 없음에도 불구하고 위협 행위자는 의심할 여지 없이 공격 시도를 시작할 것입니다.”라고 썼습니다. "또한 공격자가 취약한 소프트웨어를 패치하기 위해 애쓰는 팀을 이용하기 위해 맬웨어로 가득 찬 프로젝트의 가짜 '수정' 버전을 게시하는 경우도 드물지 않습니다."
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/vulnerabilities-threats/curl-bug-hype-fizzles-after-patching-reveal
- :있다
- :이다
- :아니
- $UP
- 2021
- 7
- 9
- a
- 소개
- IT에 대해
- 에 따르면
- 배우
- 추가
- 추가
- 또한
- 주소
- 이점
- 자문
- 후
- ...전에
- 앞으로
- 알렉스
- 수
- 따라
- an
- 및
- 제품
- 어플리케이션
- 적용하다
- 있군요
- AS
- 할당 된
- 꾸민
- At
- 시도
- 주의
- BE
- 된
- 전에
- 시작하다
- 존재
- 사이에
- 큰
- 더 큰
- 수십억
- 블로그
- 버퍼
- 버퍼 오버 플로우
- 곤충
- by
- CAN
- 케이스
- 치명적인
- 도전
- 이전 단계로 돌아가기
- 상황
- 암호
- 커뮤니티
- 함유량
- 반대로
- 사자
- 부패
- 수
- CVE
- 사이버 보안
- 위험한
- 위험
- 다니엘
- 데이터
- 일
- 배포
- 지정
- 무례
- 세부설명
- 탐지 된
- 디바이스
- 돈
- 한
- 두
- ...동안
- 쉽게
- 조차
- 실행
- 전문가
- 공적
- 파일
- 먼저,
- 수정
- 고정
- 결점
- 결함
- 수행원
- 럭셔리
- 설립자
- 분수
- 에
- 2021에서
- 얻을
- 점점
- 주어진
- 했다
- 손
- 있다
- 데
- 머리
- 높은
- 후드
- 주인
- 방법
- HTML
- HTTPS
- 거대한
- 과대 광고
- i
- if
- 영향
- 이행
- 중대한
- in
- 사건
- 포함
- 예
- 를 받아야 하는 미국 여행자
- 인텔
- 의지
- 발행물
- IT
- 그
- 그 자체
- JPG
- 다만
- 알아
- 길이
- 하자
- 도서관
- 거짓
- 아마도
- 제한된
- 지방의
- 기록
- 로그4j
- 긴
- 장기
- 이상
- 악성 코드
- 사람
- 거대한
- 최고
- 방법
- 추억
- 중간
- 수도
- 마이크
- 배우기
- name
- ...도 아니고 ...도 아니다
- 아니
- 지금
- 번호
- 10월
- of
- 오프
- 공무원
- 자주
- on
- ONE
- 만
- 열 수
- 오픈 소스
- or
- 아웃
- 위에
- 패스
- 패스
- 패치
- 패치
- 패치
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 전철기
- 게시하다
- 가능성
- 제시
- 이전에
- 문제
- 프로젝트
- 프로토콜
- 증명
- 대리
- 평가
- 반응
- 공개
- 출시
- 먼
- 연구
- 분해능
- 해결
- 해결
- 공개
- 수수께끼
- s
- 말했다
- 본
- 라고
- 대본
- 둘째
- 보안
- 보안 결함
- 참조
- 느리게
- 소프트웨어
- 출처
- 독립
- 정해진
- 성명서
- 받아
- 목표
- 목표
- 팀
- 테크니컬
- 보다
- 그
- XNUMXD덴탈의
- 그곳에.
- 생각
- 이
- 위협
- 위협 행위자
- 시간
- 에
- 오늘
- 너무
- 수단
- 이전
- 두
- 아래에
- 의심 할 여지없이
- 업데이트
- 업데이트
- 용법
- 사용
- 익숙한
- 가치
- 변수
- 여러
- 버전
- 대단히
- 취약점
- 취약
- 였다
- 언제
- 어느
- 의지
- 윌리엄스
- 승리
- 과
- 걱정
- 가장 나쁜
- 잘못된
- 쓴
- 년
- 자신의
- 제퍼 넷
