Ажіотаж щодо помилок Curl зникає після виявлення виправлення

Ажіотаж щодо помилок Curl зникає після виявлення виправлення

Мітка часу: 11 жовтня 2023 4:16
Ажіотаж щодо помилок Curl згасає після виправлення, розкривають дані PlatoBlockchain Intelligence. Вертикальний пошук. Ai.

Уже кілька днів спільнота кібербезпеки з нетерпінням чекає великого розкриття двох недоліків безпеки, які, за словами засновника curl Деніела Стенберга, включали один, який, ймовірно, був «найгіршим недоліком безпеки curl за довгий час».

Curl — це проксі-інструмент із відкритим вихідним кодом, який використовується як «посередник» для передачі файлів між різними протоколами, який присутній буквально в мільярдах екземплярів програм. Припущення про величезний недолік бібліотеки з відкритим кодом викликало спогади про катастрофу недолік log4j з 2021 року. Як стурбувався Алекс Ілгаєв, керівник відділу досліджень безпеки в Cycode, «вразливість у бібліотеці curl може виявитися більш складною, ніж інцидент Log4j два роки тому».

Але слідом за сьогоднішнім оприлюднення патчів і деталей помилок, жодна вразливість не виправдала ажіотажу.

Вплив на обмежену кількість розгортань Curl

Перша вулиця, a помилка переповнення буфера на основі купи відстежується за CVE-2023-38545, отримав рейтинг «високий» через потенційну можливість пошкодження даних або навіть віддаленого виконання коду (RCE). Згідно з консультацією, проблема полягає в передачі проксі SOCKS5.

«Коли curl запитують передати ім’я хоста до проксі-сервера SOCKS5, щоб дозволити йому розпізнати адресу замість того, щоб це було зроблено самим curl, максимальна довжина цього імені хоста може становити 255 байт», — зазначено в повідомленні. «Якщо виявлено, що ім’я хоста перевищує 255 байт, curl перемикається на локальне розпізнавання імен і натомість передає розпізнану адресу лише проксі-серверу».

Помилка могла дозволити передати неправильне значення під час рукостискання SOCKS5.

«Через помилку локальна змінна, яка означає «дозволити хосту вирішити ім’я», могла отримати неправильне значення під час повільного рукостискання SOCKS5, і всупереч наміру, скопіювати занадто довге ім’я хоста в цільовий буфер замість копіювання лише вирішена адреса там», – додається в повідомленні.

Однак, за словами експерта з кібербезпеки Джейка Вільямса, позначення високого рівня серйозності стосується лише частини розгортань.

«Це лише висока серйозність у дуже обмежених обставинах», — каже Вільямс. «Я думаю, що проблема полягає лише в тому, що коли у вас є вразливість бібліотеки, ви знаєте, як бібліотека використовується. Ви повинні призначити CVE, припускаючи найгірший сценарій реалізації».

Друга помилка curl, яка відстежується за CVE-2023-38546, — це помилка ін’єкції cookie низького рівня, яка впливає лише на бібліотеку libcurl, а не на сам curl.

«Я думаю, що це більша проблема для пристроїв безпеки та пристроїв (які отримують ненадійний вміст і часто використовують curl під капотом)», — сказав Енді Хорнеголд у своїй заяві у відповідь на публікацію подробиць про помилку curl. «Я не бачу великої проблеми для автономного використання».

Небезпека реклами Fix

Крім печії для команд з кібербезпеки, реклама виправлення до оприлюднення технічних деталей може легко виграти загрозливих акторів. У цьому випадку Вільямс зазначає, що RedHat оновив свій журнал змін перед офіційним випуском curl, який міг би надати кібератакникам важливу інформацію про невиправлені цілі, якби вразливість була настільки ж небезпечною, як передбачалося раніше.

Дійсно, Майк Макгуайр із Synopsys побачив небезпеку посилення уваги до оновлення curl і написав про це в блозі 9 жовтня.

«Незважаючи на відсутність додаткових подробиць про вразливість, суб’єкти загрози, безсумнівно, почнуть спроби використання», — написав Макгуайр. «Крім того, нечувано, що зловмисники публікують фіктивні «виправлені» версії проекту, пронизаного зловмисним програмним забезпеченням, щоб отримати перевагу від команд, які намагаються виправити вразливе програмне забезпечення».

Часова мітка:

Більше від Темне читання