Há dias, a comunidade de segurança cibernética espera ansiosamente pela grande revelação sobre duas falhas de segurança que, de acordo com o fundador do curl, Daniel Stenberg, incluíam uma que foi provavelmente “a pior falha de segurança do curl em muito tempo”.
Curl é uma ferramenta de resolução de proxy de código aberto usada como “intermediário” para transferir arquivos entre vários protocolos, que está presente em literalmente bilhões de instâncias de aplicativos. A sugestão de uma enorme falha na biblioteca de código aberto evocou memórias do catastrófico falha log4j a partir de 2021. Como se preocupou Alex Ilgayev, chefe de pesquisa de segurança da Cycode, “a vulnerabilidade na biblioteca curl pode ser mais desafiadora do que o incidente Log4j há dois anos”.
Mas seguindo o de hoje revelação de patches e detalhes de bugs, nenhuma das vulnerabilidades correspondeu ao hype.
Impactando um número limitado de implantações Curl
A primeira vulnerabilidade, uma falha de buffer overflow baseado em heap rastreado sob CVE-2023-38545, recebeu uma classificação “alta” devido ao potencial de corrupção de dados ou mesmo execução remota de código (RCE). O problema está na transferência do proxy SOCKS5, de acordo com a assessoria.
“Quando o curl é solicitado a passar o nome do host para o proxy SOCKS5 para permitir que isso resolva o endereço em vez de ser feito pelo próprio curl, o comprimento máximo que o nome do host pode ter é de 255 bytes”, afirmou o comunicado. “Se for detectado que o nome do host tem mais de 255 bytes, o curl muda para a resolução de nome local e, em vez disso, passa o endereço resolvido apenas para o proxy.”
O bug pode permitir que o valor errado seja transferido durante o handshake SOCKS5.
“Devido a um bug, a variável local que significa 'deixe o host resolver o nome' pode obter o valor errado durante um handshake SOCKS5 lento e, ao contrário da intenção, copiar o nome do host muito longo para o buffer de destino em vez de copiar apenas o endereço resolvido lá”, acrescentou o comunicado.
No entanto, a designação de alta severidade se aplica apenas a uma fração das implantações, afirma o especialista em segurança cibernética Jake Williams.
“Isso só é de alta gravidade em circunstâncias muito limitadas”, diz Williams. “Acho que é apenas um problema que, quando você tem uma vulnerabilidade de biblioteca, você sabe como a biblioteca está sendo usada. Você tem que atribuir o CVE assumindo o pior cenário para implementação.”
O segundo bug curl, rastreado sob CVE-2023-38546, é uma falha de injeção de cookie de baixa gravidade que afeta apenas a biblioteca libcurl, e não o próprio curl.
“Acho que este é um problema maior para dispositivos e dispositivos de segurança (que buscam conteúdo não confiável e muitas vezes usam curl nos bastidores)”, disse Andy Hornegold em um comunicado em reação à divulgação dos detalhes do bug curl. “Não vejo que seja um grande problema para o uso independente.”
Perigos de promover uma solução
Além da azia das equipes de segurança cibernética, promover uma solução antes que os detalhes técnicos sejam divulgados pode proporcionar uma vitória fácil aos atores da ameaça. Neste caso, Williams aponta que a RedHat atualizou seu log de alterações antes do lançamento oficial do curl, o que poderia ter fornecido aos ciberataques informações importantes sobre alvos não corrigidos, se a vulnerabilidade fosse tão perigosa quanto se supunha anteriormente.
Na verdade, Mike McGuire, da Synopsys, viu os perigos da atenção ampliada na atualização curl e escreveu sobre isso em um blog de 9 de outubro.
“Apesar de não haver detalhes adicionais sobre a vulnerabilidade, os atores da ameaça sem dúvida iniciarão tentativas de exploração”, escreveu McGuire. “Além disso, não é incomum que invasores publiquem versões falsas ‘corrigidas’ de um projeto repleto de malware para tirar vantagem de equipes que lutam para corrigir software vulnerável.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/curl-bug-hype-fizzles-after-patching-reveal
- :tem
- :é
- :não
- $UP
- 2021
- 7
- 9
- a
- Sobre
- sobre isso
- Segundo
- atores
- adicionado
- Adicional
- Adicionalmente
- endereço
- Vantagem
- consultivo
- Depois de
- atrás
- à frente
- alex
- permitir
- juntamente
- an
- e
- aparelhos
- Aplicação
- aplica
- SOMOS
- AS
- atribuído
- assumiu
- At
- Tentativas
- por WhatsApp.
- BE
- sido
- antes
- começar
- ser
- entre
- Grande
- maior
- bilhões
- Blog
- amortecer
- estouro de buffer
- Bug
- by
- CAN
- casas
- catastrófico
- desafiante
- alterar
- circunstâncias
- código
- comunidade
- conteúdo
- contrário
- copiando
- Corrupção
- poderia
- cve
- Cíber segurança
- Perigoso
- perigos
- Daniel
- dados,
- dias
- Implantações
- designação
- Apesar de
- detalhes
- detectou
- Dispositivos/Instrumentos
- don
- feito
- dois
- durante
- fácil
- Mesmo
- execução
- especialista
- Explorar
- Arquivos
- Primeiro nome
- Fixar
- fixado
- falha
- falhas
- seguinte
- Escolha
- fundador
- fração
- da
- de 2021
- ter
- obtendo
- dado
- tinha
- mão
- Ter
- ter
- cabeça
- Alta
- capuz
- hospedeiro
- Como funciona o dobrador de carta de canal
- HTML
- HTTPS
- enorme
- Hype
- i
- if
- Impacto
- implementação
- importante
- in
- incidente
- incluído
- instância
- em vez disso
- Intel
- Intenção
- emitem
- IT
- ESTÁ
- se
- jpg
- apenas por
- Saber
- Comprimento
- deixar
- Biblioteca
- encontra-se
- Provável
- Limitado
- local
- log
- log4j
- longo
- muito tempo
- mais
- malwares
- homem
- maciço
- máximo
- significa
- Memórias
- Coração
- poder
- Mike
- mais
- nome
- Nem
- não
- agora
- número
- Out
- of
- WOW!
- oficial
- frequentemente
- on
- ONE
- só
- aberto
- open source
- or
- Fora
- Acima de
- passar
- passes
- Remendo
- Patches
- Patching
- platão
- Inteligência de Dados Platão
- PlatãoData
- pontos
- Publique
- potencial
- presente
- anteriormente
- Problema
- projeto
- protocolos
- Prove
- procuração
- classificação
- reação
- liberar
- liberado
- remoto
- pesquisa
- Resolução
- resolvidas
- resolver
- revelar
- riscado
- s
- Dito
- serra
- diz
- cenário
- Segundo
- segurança
- falha de segurança
- Vejo
- lento
- Software
- fonte
- autônoma
- estabelecido
- Declaração
- Tire
- Target
- tem como alvo
- equipes
- Dados Técnicos:
- do que
- que
- A
- Lá.
- think
- isto
- ameaça
- atores de ameaças
- tempo
- para
- hoje
- também
- ferramenta
- transferência
- dois
- para
- sem dúvida
- Atualizar
- Atualizada
- Uso
- usar
- usava
- valor
- variável
- vário
- versões
- muito
- vulnerabilidade
- Vulnerável
- foi
- quando
- qual
- precisarão
- Williams
- ganhar
- de
- preocupado
- o pior
- Errado
- escreveu
- anos
- Vocês
- zefirnet
