Вот уже несколько дней сообщество кибербезопасности с нетерпением ждет крупного открытия о двух недостатках безопасности, среди которых, по словам основателя Curl Дэниела Стенберга, есть один, который, вероятно, был «самым худшим недостатком безопасности Curl за долгое время».
Curl — это инструмент разрешения прокси с открытым исходным кодом, используемый в качестве «посредника» для передачи файлов между различными протоколами, который присутствует буквально в миллиардах экземпляров приложений. Предположение о масштабном изъяне в библиотеке с открытым исходным кодом вызвало воспоминания о катастрофической катастрофе. ошибка log4j с 2021 года. Как обеспокоен Алекс Ильгаев, руководитель отдела исследований безопасности Cycode, «уязвимость в библиотеке Curl может оказаться более серьезной, чем инцидент с Log4j два года назад».
Но после сегодняшнего раскрытие патчей и подробностей об ошибках, ни одна из уязвимостей не оправдала шумихи.
Влияние на ограниченное количество развертываний Curl
Первая уязвимость, ошибка переполнения буфера в куче отслеживаемый под CVE-2023-38545, ему был присвоен рейтинг «высокий» из-за возможности повреждения данных или даже удаленного выполнения кода (RCE). Согласно рекомендациям, проблема заключается в передаче прокси-сервера SOCKS5.
«Когда Curl просят передать имя хоста прокси-серверу SOCKS5, чтобы он мог разрешить адрес вместо того, чтобы это делал сам Curl, максимальная длина имени хоста может составлять 255 байт», — говорится в сообщении. «Если обнаруживается, что имя хоста длиннее 255 байт, Curl переключается на разрешение локального имени и вместо этого передает разрешенный адрес только прокси-серверу».
Эта ошибка могла привести к передаче неправильного значения во время рукопожатия SOCKS5.
«Из-за ошибки локальная переменная, означающая «позволить хосту разрешить имя», могла получить неправильное значение во время медленного рукопожатия SOCKS5 и, вопреки замыслу, скопировать слишком длинное имя хоста в целевой буфер вместо копирования только разрешенный адрес там», — добавлено в сообщении.
Однако, по словам эксперта по кибербезопасности Джейка Уильямса, высокий уровень серьезности применим только к части развертываний.
«Это высокая степень серьезности только в очень ограниченных случаях», — говорит Уильямс. «Я думаю, проблема заключается в том, что когда у вас есть уязвимость в библиотеке, вы знаете, как она используется. Вы должны назначить CVE, предполагая наихудший сценарий реализации».
Вторая ошибка Curl, отслеживаемая под CVE-2023-38546, представляет собой уязвимость внедрения файлов cookie низкой степени серьезности, которая влияет только на библиотеку libcurl, но не на сам Curl.
«Я думаю, что это более серьезная проблема для устройств безопасности и устройств (которые получают ненадежный контент и часто скрытно используют Curl)», — сказал Энди Хорнеголд в своем заявлении в ответ на публикацию подробностей об ошибке Curl. «Я не вижу в этом большой проблемы при автономном использовании».
Опасности раскрутки исправления
Помимо изжоги у команд по кибербезопасности, реклама исправления до того, как будут опубликованы технические детали, может принести легкую победу злоумышленникам. В данном случае Уильямс отмечает, что RedHat обновила свой журнал изменений перед официальным релизом Curl, который мог бы предоставить киберзлоумышленникам важную информацию о неисправленных целях, если бы уязвимость была столь же опасной, как предполагалось ранее.
Действительно, Майк Макгуайр из Synopsys увидел опасность повышенного внимания к обновлению Curl и написал об этом в блоге от 9 октября.
«Несмотря на отсутствие дополнительных подробностей об уязвимости, злоумышленники, несомненно, начнут попытки использования уязвимости», — написал Макгуайр. «Кроме того, злоумышленники нередко публикуют фиктивные «исправленные» версии проекта, пронизанного вредоносным ПО, чтобы воспользоваться командами, пытающимися исправить уязвимое программное обеспечение».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/curl-bug-hype-fizzles-after-patching-reveal
- :имеет
- :является
- :нет
- $UP
- 2021
- 7
- 9
- a
- О нас
- об этом
- По
- актеры
- добавленный
- дополнительный
- Дополнительно
- адрес
- плюс
- консультативный
- После
- тому назад
- впереди
- Alex
- позволять
- вдоль
- an
- и
- техника
- Применение
- применяется
- МЫ
- AS
- назначенный
- предполагается,
- At
- попытки
- внимание
- BE
- было
- до
- начинать
- не являетесь
- между
- большой
- больший
- миллиарды
- Блог
- буфер
- переполнение буфера
- Ошибка
- by
- CAN
- случаев
- катастрофический
- сложные
- изменение
- обстоятельства
- код
- сообщество
- содержание
- вопреки
- копирование
- коррупция
- может
- CVE
- Информационная безопасность
- опасно
- Опасности
- Дэниел
- данным
- Дней
- развертывания
- обозначение
- Несмотря на
- подробнее
- обнаруженный
- Устройства
- Дон
- сделанный
- два
- в течение
- легко
- Даже
- выполнение
- эксперту
- Эксплуатировать
- Файлы
- Во-первых,
- фиксированный
- фиксированной
- недостаток
- недостатки
- после
- Что касается
- основатель
- доля
- от
- от 2021
- получить
- получающий
- данный
- было
- рука
- Есть
- имеющий
- High
- капот
- кашель
- Как
- HTML
- HTTPS
- огромный
- Обман
- i
- if
- Воздействие
- реализация
- важную
- in
- инцидент
- включены
- пример
- вместо
- Intel
- Намерение
- вопрос
- IT
- ЕГО
- саму трезвость
- JPG
- всего
- Знать
- Длина
- позволять
- Библиотека
- лежит
- Вероятно
- Ограниченный
- локальным
- журнал
- Лог4дж
- Длинное
- много времени
- дольше
- вредоносных программ
- человек
- массивный
- максимальный
- означает
- памяти
- средняя
- может быть
- микрофон
- БОЛЕЕ
- имя
- ни
- нет
- сейчас
- номер
- окт
- of
- от
- Официальный представитель в Грузии
- .
- on
- ONE
- только
- открытый
- с открытым исходным кодом
- or
- внешний
- за
- pass
- проходит
- Патчи
- Патчи
- Заделка
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- После
- потенциал
- представить
- предварительно
- Проблема
- Проект
- протоколы
- Доказывать
- полномочие
- рейтинг
- реакция
- освободить
- выпустил
- удаленные
- исследованиям
- Постановления
- решен
- решения
- показывать
- пронизана
- s
- Сказал
- видел
- говорит
- сценарий
- Во-вторых
- безопасность
- недостаток безопасности
- посмотреть
- медленной
- Software
- Источник
- автономные
- заявил
- заявление
- взять
- цель
- направлена против
- команды
- Технический
- чем
- который
- Ассоциация
- Там.
- think
- этой
- угроза
- актеры угрозы
- время
- в
- сегодня
- слишком
- инструментом
- перевод
- два
- под
- несомненно
- Обновление ПО
- обновление
- Применение
- использование
- используемый
- ценностное
- переменная
- различный
- версии
- очень
- уязвимость
- Уязвимый
- законопроект
- когда
- , которые
- будете
- Уильямс
- выиграть
- беспокоиться
- Наихудший
- Неправильно
- писал
- лет
- Ты
- зефирнет
