Curl Bug Hype'ı Yama Gösteriminden Sonra Ortadan Kalkıyor

Günlerdir siber güvenlik topluluğu, Curl'ün kurucusu Daniel Stenberg'e göre "uzun zamandır en kötü Curl güvenlik açığı" olan bir tanesini de içeren iki güvenlik açığı hakkındaki büyük açıklamayı endişeyle bekliyordu.

Curl, kelimenin tam anlamıyla milyarlarca uygulama örneğinde mevcut olan, çeşitli protokoller arasında dosya aktarımı için "orta adam" olarak kullanılan açık kaynaklı bir proxy çözümleme aracıdır. Büyük bir açık kaynak kütüphane hatasının olduğu iddiası, felaketle ilgili anıları uyandırdı log4j kusuru Cycode'un güvenlik araştırması başkanı Alex Ilgayev'in endişelendiği gibi, "curl kütüphanesindeki güvenlik açığı iki yıl önceki Log2021j olayından daha zorlayıcı olabilir."

Ama bugünü takip ederek yamaların ve hata ayrıntılarının açıklanmasıher iki güvenlik açığı da bu kadar abartılanları karşılayamadı.

Sınırlı Sayıda Curl Dağıtımını Etkilemek

İlk vuln, bir yığın tabanlı arabellek taşması kusuru CVE-2023-38545 kapsamında izlenen bu dosyalara, veri bozulması ve hatta uzaktan kod yürütme (RCE) potansiyeli nedeniyle "yüksek" derecelendirmesi verildi. Danışmana göre sorun SOCKS5 proxy aktarımında yatıyor.

Tavsiye belgesinde, "Curl'ün, adresin curl tarafından yapılması yerine çözümlenmesine izin vermek için ana bilgisayar adını SOCKS5 proxy'sine iletmesi istendiğinde, ana bilgisayar adının olabileceği maksimum uzunluk 255 bayttır" dedi. "Ana bilgisayar adının 255 bayttan uzun olduğu tespit edilirse, curl yerel ad çözümlemeye geçer ve bunun yerine çözümlenen adresi yalnızca proxy'ye iletir."

Hata, SOCKS5 anlaşması sırasında yanlış değerin dağıtılmasına izin verebilir.

"Bir hata nedeniyle, 'ana bilgisayarın adı çözümlemesine izin ver' anlamına gelen yerel değişken, yavaş bir SOCKS5 anlaşması sırasında yanlış değeri alabilir ve niyetin aksine, yalnızca ana makine adını kopyalamak yerine çok uzun ana bilgisayar adını hedef ara belleğe kopyalayabilir. adresi orada çözüldü,” diye ekledi danışma belgesi.

Ancak siber güvenlik uzmanı Jake Williams, yüksek önem derecesinin yalnızca dağıtımların bir kısmı için geçerli olduğunu söylüyor.

Williams, "Bu yalnızca çok sınırlı durumlarda yüksek şiddettedir" diyor. “Bence bu sadece bir kütüphane güvenlik açığına sahip olduğunuzda kütüphanenin nasıl kullanıldığını bilmenizle ilgili bir sorun. Uygulama için en kötü senaryoyu varsayarak CVE'yi atamanız gerekir."

CVE-2023-38546 kapsamında takip edilen ikinci curl hatası, curl'un kendisini değil, yalnızca libcurl kütüphanesini etkileyen düşük önem dereceli bir çerez ekleme hatasıdır.

Andy Hornegold, kıvrılma hatası ayrıntılarının açıklanmasına tepki olarak yaptığı açıklamada, "Bunun güvenlik cihazları ve (güvenilmeyen içerik getiren ve çoğunlukla kıvrılmayı kullanan) cihazlar için daha büyük bir sorun olduğunu düşünüyorum" dedi. "Bağımsız kullanım için büyük bir sorun olduğunu düşünmüyorum."

Bir Çözümü Abartmanın Tehlikeleri

Siber güvenlik ekipleri için mide yanmasının ötesinde, teknik ayrıntılar açıklanmadan önce bir çözüme ulaşmak, tehdit aktörlerine kolay bir kazanç sağlayabilir. Bu örnekte Williams, RedHat'ın değişiklik günlüğünü resmi curl sürümünden önce güncellediğini, bunun siber saldırganlara yama yapılmamış hedefler hakkında önemli bilgiler verebileceğini, eğer güvenlik açığı daha önce varsayıldığı kadar tehlikeli olsaydı dikkat çekiyor.

Aslında Synopsys'ten Mike McGuire, curl güncellemesine artan ilginin tehlikelerini gördü ve 9 Ekim tarihli bir blogda bunun hakkında yazdı.

McGuire, "Güvenlik açığı hakkında ek ayrıntı olmamasına rağmen, tehdit aktörleri şüphesiz istismar girişimlerine başlayacak" diye yazdı. "Ayrıca, saldırganların, savunmasız yazılımlara yama yapmak için çabalayan ekiplerin avantajından yararlanmak amacıyla, kötü amaçlı yazılımlarla dolu bir projenin sahte 'sabit' sürümlerini yayınlaması duyulmamış bir şey değil."

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/vulnerabilities-threats/curl-bug-hype-fizzles-after-patching-reveal