Curl Bug Hype izzveni po razkritju popravkov

Curl Bug Hype izzveni po razkritju popravkov

Časovni žig: 11. oktober 2023 4
Curl Bug Hype izzveni po popravkih. Razkrivajo podatkovno inteligenco PlatoBlockchain. Navpično iskanje. Ai.

Skupnost za kibernetsko varnost že nekaj dni nestrpno čaka na veliko razkritje dveh varnostnih napak, ki sta po besedah ​​ustanovitelja curla Daniela Stenberga vključevali tisto, ki je bila verjetno "najhujša varnostna napaka curl v dolgem času."

Curl je odprtokodno orodje za razreševanje proxyja, ki se uporablja kot »posrednik« za prenos datotek med različnimi protokoli, ki je prisotno v dobesedno milijardah primerkov aplikacij. Namig o ogromni napaki odprtokodne knjižnice je obudil spomine na katastrofo napaka log4j od leta 2021. Kot je zaskrbljen Alex Ilgayev, vodja varnostnih raziskav pri Cycode, "se lahko ranljivost v knjižnici curl izkaže za bolj zahtevno kot incident Log4j pred dvema letoma."

Ampak po današnjem razkritje popravkov in podrobnosti o napakah, nobena ranljivost ni upravičila navdušenja.

Vpliv na omejeno število uvedb Curl

Prva vuln, a napaka prekoračitve medpomnilnika na osnovi kopice sleden pod CVE-2023-38545, mu je bila dodeljena ocena »visoko« zaradi možnosti poškodovanja podatkov ali celo oddaljenega izvajanja kode (RCE). Glede na svetovanje je težava v predaji posrednika SOCKS5.

»Ko se od curla zahteva, da posreduje ime gostitelja proxyju SOCKS5, da se omogoči razrešitev naslova, namesto da bi to naredil curl sam, je lahko največja dolžina tega imena gostitelja 255 bajtov,« je navedeno v svetovanju. "Če je zaznano, da je ime gostitelja daljše od 255 bajtov, curl preklopi na lokalno razreševanje imen in namesto tega posreduje razrešen naslov samo proxyju."

Napaka bi lahko omogočila predajo napačne vrednosti med rokovanjem SOCKS5.

»Zaradi napake bi lahko lokalna spremenljivka, ki pomeni 'naj gostitelj razreši ime', med počasnim rokovanjem SOCKS5 dobila napačno vrednost in v nasprotju z namenom kopirala predolgo ime gostitelja v ciljni medpomnilnik, namesto da bi kopirala samo tam razrešen naslov,« so dodali v svetovalnem sporočilu.

Vendar pa oznaka visoke resnosti velja le za del uvajanj, pravi strokovnjak za kibernetsko varnost Jake Williams.

"To je le visoka resnost v zelo omejenih okoliščinah, " pravi Williams. »Mislim, da je težava le v tem, da ko imate ranljivost knjižnice, veste, kako se knjižnica uporablja. CVE morate dodeliti ob predpostavki najslabšega možnega scenarija za izvedbo.«

Druga napaka curl, ki jo spremljamo pod CVE-2023-38546, je napaka pri vstavljanju piškotka nizke stopnje, ki vpliva le na knjižnico libcurl, ne pa na curl sam.

"Mislim, da je to večja težava za varnostne naprave in naprave (ki pridobijo nezaupljivo vsebino in pogosto uporabljajo curl pod pokrovom)," je dejal Andy Hornegold v izjavi v odzivu na objavo podrobnosti o napaki curl. "Ne vidim velikega problema pri samostojni uporabi."

Nevarnosti napihovanja popravka

Poleg zgage za ekipe za kibernetsko varnost lahko oglaševanje popravka, preden so objavljene tehnične podrobnosti, povzroči enostavno zmago akterjem groženj. V tem primeru Williams poudarja, da je RedHat posodobil svoj dnevnik sprememb pred uradno izdajo curl, kar bi lahko kibernetskim napadalcem dalo pomembne informacije o nezakrpanih ciljih, če bi bila ranljivost tako nevarna, kot se je prej domnevalo.

Pravzaprav je Mike McGuire s Synopsysom videl nevarnosti povečane pozornosti na posodobitev kodrov in o tem pisal v blogu 9. oktobra.

"Kljub temu, da nimamo dodatnih podrobnosti o ranljivosti, bodo akterji groženj nedvomno začeli s poskusi izkoriščanja," je zapisal McGuire. "Poleg tega ni nenavadno, da napadalci objavijo lažne 'popravljene' različice projekta, prepredenega z zlonamerno programsko opremo, da bi izkoristili ekipe, ki se trudijo popraviti ranljivo programsko opremo."

Časovni žig:

Več od Temno branje