Güvenlik ekiplerinin sorunu çözmek için kriz moduna geçmesine gerek yok yakın zamanda komut satırı aracı curl ve libcurl kütüphanesindeki güvenlik açıkları düzeltildi, ancak bu, etkilenen sistemleri tanımlama ve düzeltme konusunda endişelenmelerine gerek olmadığı anlamına gelmez. Sistemlerden hemen yararlanılamazsa güvenlik ekiplerinin bu güncellemeleri yapmak için biraz zamanı vardır.
Bu Teknik İpucu, güvenlik ekiplerinin risk altında olmadıklarından emin olmak için ne yapmaları gerektiğine ilişkin rehberliği bir araya getirir.
Unix ve Linux sistemleri için temel bir ağ oluşturma aracı olan cURL, komut satırlarında ve komut dosyalarında veri aktarımı için kullanılır. Yaygınlığı, hem bağımsız bir yardımcı program (curl) hem de birçok farklı uygulama türünde (libcurl) yer alan bir kütüphane olarak kullanılmasından kaynaklanmaktadır. Geliştiricilerin kendi kodlarından curl API'lerine erişmesine olanak tanıyan libcurl kitaplığı, doğrudan kodun içine yerleştirilebilir, bağımlılık olarak kullanılabilir, bir işletim sistemi paketinin parçası olarak kullanılabilir, bir Docker konteynerinin parçası olarak dahil edilebilir veya bir Kubernetes küme düğümü.
CVE-2023-38545 Nedir?
Yüksek önem derecesine sahip güvenlik açığı curl ve libcurl'u etkiler 7.69.0 ila 8.3.0 sürümleri ve düşük önem derecesine sahip güvenlik açığı, libcurl'un 7.9.1 ila 8.3.0 sürümlerini etkiliyor. Ancak varsayılan koşullar altında güvenlik açıklarından yararlanılamaz. Güvenlik açığını tetiklemeye çalışan bir saldırganın, curl'u kendi kontrolü altındaki kötü amaçlı bir sunucuya yönlendirmesi, curl'un proxy çözümleyici modunu kullanarak bir SOCKS5 proxy kullandığından emin olması, curl'u yönlendirmeleri otomatik olarak takip edecek şekilde yapılandırması ve arabellek boyutunu daha küçük bir değere ayarlaması gerekir. boyut.
Göre Yair MizrahiJFrog'da kıdemli bir güvenlik araştırmacısı olan libcurl kütüphanesi savunmasızdır bir tek aşağıdaki ortam değişkenleri ayarlanmışsa: CURLOPT_PROXYTYPE yazmaya ayarla CURLPROXY_SOCKS5_HOSTNAMEYa da CURLOPT_PROXY or CURLOPT_PRE_PROXY şemaya göre ayarla çorap5h://. Ayrıca proxy ortam değişkenlerinden birinin, çorap5h:// şeması. Komut satırı aracı yalnızca aşağıdaki komutla çalıştırıldığında saldırıya açıktır: -socks5-ana bilgisayar adı bayrak veya ile –vekil (-x) veya –önproxy şemayı kullanacak şekilde ayarla çorap5h://. Etkilenen ortam değişkenleriyle curl çalıştırılırsa da bu durum savunmasızdır.
“Bir makinenin savunmasız olması için gereken ön koşullar dizisi (önceki bölüme bakın), başlangıçta inanıldığından daha kısıtlayıcıdır. Bu nedenle curl kullanıcılarının büyük çoğunluğunun bu güvenlik açığından etkilenmeyeceğine inanıyoruz," diye yazdı Mizrahi analizde.
Ortamı Savunmasız Sistemlere Karşı Tarayın
Kuruluşların yapması gereken ilk şey, bu ön koşulların mevcut olup olmadığını değerlendirmek için curl ve libcurl kullanarak tüm sistemleri tanımlayacak şekilde ortamlarının kapsamını belirlemektir. Cycode güvenlik araştırması başkanı Alex Ilgayev, kuruluşların kod, tarama kapsayıcıları ve uygulama güvenliği duruş yönetimi yardımcı programları için yazılım bileşimi analiz araçlarını kullanarak sistemlerinin envanterini çıkarmaları ve yazılım teslim süreçlerini değerlendirmeleri gerektiğini belirtiyor. Güvenlik açığı her curl uygulamasını etkilemese de ekibin bakılacak potansiyel konumların bir listesiyle başlaması durumunda etkilenen sistemleri belirlemek daha kolay olacaktır.
Aşağıdaki komutlar hangi curl sürümlerinin yüklü olduğunu tanımlar:
Linux/MacOS:
find / -name curl 2>/dev/null -exec echo "Bulundu: {}" ; -exec {} --sürüm;
Windows:
Get-ChildItem -Yol C: -Recurse -ErrorAction SilentlyContinue -filtre curl.exe | ForEach-Object { Write-Host "Bulundu: $($_.FullName)"; & $_.FullName --version }
GitHub'ın bir Endpoint için Defender'da çalıştırılacak sorgu ortamdaki curl yüklü olan veya curl kullanan tüm cihazları tanımlamak için. Qualys kurallarını yayınladı platformunu kullanmak için.
Docker kapsayıcılarını veya diğer kapsayıcı teknolojilerini kullanan kuruluşların da görüntüleri güvenlik açığı bulunan sürümlere karşı taraması gerekir. Özellikle docker görüntülerinde ve liburl kopyalarını içeren benzer varlıklarda oldukça fazla sayıda yeniden oluşturma bekleniyor. Docker bir araya geldi talimatların bir listesi Tüm görüntülerin değerlendirilmesi.
Mevcut depoları bulmak için:
liman işçisi izci repo'yu etkinleştir --org / izci demosu
Yerel kapsayıcı görüntülerini analiz etmek için:
liman işçisi izci politikası [IMAGE] --org [ORG]
Endor Labs güvenlik araştırmacısı Henrik Plate'e göre bu sorun, bir kuruluşta kullanılan tüm açık kaynaklı yazılımların titizlikle takip edilmesinin önemini vurguluyor.
Plate, "Curl ve libcurl'ün tüm kullanımlarını bilmek, ister curl'e yama uygulamak, ister güvenilmeyen ağlardan etkilenen sistemlere erişimi kısıtlamak veya diğer karşı önlemleri uygulamak olsun, gerçek riski değerlendirmek ve iyileştirme önlemleri almak için ön koşuldur" dedi.
Viakoo Labs başkan yardımcısı John Gallagher, uygulamanın bir yazılım malzeme listesiyle birlikte gelmesi durumunda kıvrılma örneklerini aramaya başlamak için iyi bir yer olacağını ekliyor.
Kusurların istismar edilemez olması güncellemelerin gerekli olmadığı anlamına gelmez. Yamalar mevcut doğrudan curl ve libcurl içinve birçok işletim sistemi (Debian, Ubuntu, Red Hat, vb.) de sabit sürümleri öne çıkardı. Libcurl birçok işletim sistemi ve uygulama tarafından kullanılan bir kitaplık olduğundan, diğer uygulamalardan gelen güvenlik güncellemelerine dikkat edin.
JFrog'dan Mizrahi'ye göre, güncellemeler dağıtılıncaya kadar geçici çözümlerden biri, SOCKS5 proxy'sine bağlanırken curl'u yerel ana bilgisayar adı çözümlemesini kullanmaya zorlamak. Bu sözdizimi, çorap5h şemasını değil, çorap5 şemasını kullanır: curl -x çoraplar5://someproxy.com. Kitaplıkta ortam değişkenini değiştirin CURLPROXY_SOCKS5_HOSTNAME ile CURLPROXY_SOCKS5.
Güvenlik mühendisi Benjamin Marr'a göre Davetsiz misafir, güvenlik ekiplerinin aşırı büyük dizeler için kıvrılma işaretlerini izlemesi gerekir; çünkü bu, sistemin güvenliğinin ihlal edildiğini gösterir. Bayraklar –socks5-ana bilgisayar adıya da –vekil or –önproxy şemayı kullanacak şekilde ayarla çorap5h://.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/dr-tech/how-to-scan-environment-vulnerable-curl
- :vardır
- :dır-dir
- :olumsuzluk
- 1
- 7
- 8
- 9
- a
- Hakkımızda
- erişim
- Göre
- eylemler
- gerçek
- adres
- Ekler
- etkiler
- agrega
- alex
- Türkiye
- veriyor
- Ayrıca
- an
- analiz
- çözümlemek
- ve
- API'ler
- Uygulama
- uygulama güvenliği
- uygulamaları
- ARE
- AS
- belirlemek
- Değerlendirme
- At
- otomatik olarak
- mevcut
- BE
- Çünkü
- olmuştur
- olmak
- Inanmak
- inanılır
- Evin en küçüğü
- Fatura
- her ikisi de
- tampon
- demet
- fakat
- by
- CAN
- yapamam
- Küme
- kod
- geliyor
- kompozisyon
- Uzlaşılmış
- koşullar
- bağlantı
- Konteyner
- Konteynerler
- kontrol
- kriz
- veri
- Varsayılan
- teslim
- Bağımlılık
- konuşlandırılmış
- geliştiriciler
- Cihaz
- farklı
- direkt olarak
- do
- liman işçisi
- yok
- gelmez
- Değil
- don
- Dont
- gereken
- kolay
- kaçırmak
- etkinleştirmek
- mühendis
- sağlamak
- kişiler
- çevre
- ortamları
- vb
- değerlendirmek
- Hatta
- Her
- infaz
- mevcut
- mevcut
- beklenen
- sömürülen
- göz
- gerçek
- bulmak
- Ad
- sabit
- bayraklar
- kusurları
- takip et
- takip etme
- İçin
- Zorla
- bulundu
- itibaren
- Tercih Etmenizin
- rehberlik
- vardı
- şapka
- Var
- baş
- Yüksek
- özeti
- Ne kadar
- Nasıl Yapılır
- Ancak
- HTTPS
- belirlemek
- belirlenmesi
- if
- görüntü
- görüntüleri
- hemen
- etkiledi
- Etkiler
- uygulama
- uygulanması
- önem
- in
- dahil
- birleştirmek
- belirtmek
- başlangıçta
- yüklü
- içine
- tanıttı
- envanter
- konu
- IT
- ONUN
- John
- jpg
- tutmak
- koruma
- Labs
- büyük
- Kütüphane
- hatları
- linux
- Liste
- yerel
- yerleri
- Bakın
- bakıyor
- Düşük
- makine
- çoğunluk
- yapmak
- yönetim
- çok
- malzemeler
- ortalama
- titiz
- Moda
- izleme
- Daha
- gerekli
- gerek
- gerekli
- ağ
- ağlar
- düğüm
- notlar
- numara
- of
- on
- ONE
- bir tek
- açık
- açık kaynak
- işletme
- işletim sistemi
- işletim sistemleri
- or
- sipariş
- kuruluşlar
- organizasyonlar
- Diğer
- dışarı
- kendi
- Bölüm
- özellikle
- Yamalar
- Yama
- yer
- platform
- Platon
- Plato Veri Zekası
- PlatoVeri
- Nokta
- politika
- potansiyel
- başkan
- önceki
- Süreçler
- vekil
- yayınlanan
- itti
- Kırmızı
- katolik kardinal şapkası
- değiştirmek
- araştırma
- araştırmacı
- çözme
- kısıtlayan
- kısıtlayıcı
- Risk
- koşmak
- Adı geçen
- taramak
- tarama
- plan
- kapsam
- izci
- scriptler
- Bölüm
- güvenlik
- görmek
- kıdemli
- sunucu
- set
- meli
- benzer
- oldukça büyük
- beden
- daha küçük
- Yazılım
- yazılım faturası
- biraz
- Kaynak
- bağımsız
- başlama
- başlar
- elbette
- salıncak
- sözdizimi
- sistem
- Sistemler
- alma
- takım
- takım
- teknoloji
- Teknolojileri
- göre
- o
- The
- ve bazı Asya
- bu nedenle
- onlar
- şey
- Re-Tweet
- Bu
- gerçi?
- zaman
- tip
- için
- birlikte
- araç
- araçlar
- iz
- transfer
- tetikleyebilir
- çalışıyor
- türleri
- Ubuntu
- altında
- unix
- kadar
- Güncellemeler
- kullanım
- Kullanılmış
- kullanıcılar
- kullanım
- kullanma
- kamu hizmetleri
- yarar
- değişken
- Geniş
- sürümler
- mengene
- Başkan Yardımcısı
- güvenlik açıkları
- güvenlik açığı
- Savunmasız
- we
- İYİ
- Ne
- ne zaman
- olup olmadığını
- hangi
- ile
- endişe
- olur
- yazdı
- zefirnet