Уже кілька днів спільнота кібербезпеки з нетерпінням чекає великого розкриття двох недоліків безпеки, які, за словами засновника curl Деніела Стенберга, включали один, який, ймовірно, був «найгіршим недоліком безпеки curl за довгий час».
Curl — це проксі-інструмент із відкритим вихідним кодом, який використовується як «посередник» для передачі файлів між різними протоколами, який присутній буквально в мільярдах екземплярів програм. Припущення про величезний недолік бібліотеки з відкритим кодом викликало спогади про катастрофу недолік log4j з 2021 року. Як стурбувався Алекс Ілгаєв, керівник відділу досліджень безпеки в Cycode, «вразливість у бібліотеці curl може виявитися більш складною, ніж інцидент Log4j два роки тому».
Але слідом за сьогоднішнім оприлюднення патчів і деталей помилок, жодна вразливість не виправдала ажіотажу.
Вплив на обмежену кількість розгортань Curl
Перша вулиця, a помилка переповнення буфера на основі купи відстежується за CVE-2023-38545, отримав рейтинг «високий» через потенційну можливість пошкодження даних або навіть віддаленого виконання коду (RCE). Згідно з консультацією, проблема полягає в передачі проксі SOCKS5.
«Коли curl запитують передати ім’я хоста до проксі-сервера SOCKS5, щоб дозволити йому розпізнати адресу замість того, щоб це було зроблено самим curl, максимальна довжина цього імені хоста може становити 255 байт», — зазначено в повідомленні. «Якщо виявлено, що ім’я хоста перевищує 255 байт, curl перемикається на локальне розпізнавання імен і натомість передає розпізнану адресу лише проксі-серверу».
Помилка могла дозволити передати неправильне значення під час рукостискання SOCKS5.
«Через помилку локальна змінна, яка означає «дозволити хосту вирішити ім’я», могла отримати неправильне значення під час повільного рукостискання SOCKS5, і всупереч наміру, скопіювати занадто довге ім’я хоста в цільовий буфер замість копіювання лише вирішена адреса там», – додається в повідомленні.
Однак, за словами експерта з кібербезпеки Джейка Вільямса, позначення високого рівня серйозності стосується лише частини розгортань.
«Це лише висока серйозність у дуже обмежених обставинах», — каже Вільямс. «Я думаю, що проблема полягає лише в тому, що коли у вас є вразливість бібліотеки, ви знаєте, як бібліотека використовується. Ви повинні призначити CVE, припускаючи найгірший сценарій реалізації».
Друга помилка curl, яка відстежується за CVE-2023-38546, — це помилка ін’єкції cookie низького рівня, яка впливає лише на бібліотеку libcurl, а не на сам curl.
«Я думаю, що це більша проблема для пристроїв безпеки та пристроїв (які отримують ненадійний вміст і часто використовують curl під капотом)», — сказав Енді Хорнеголд у своїй заяві у відповідь на публікацію подробиць про помилку curl. «Я не бачу великої проблеми для автономного використання».
Небезпека реклами Fix
Крім печії для команд з кібербезпеки, реклама виправлення до оприлюднення технічних деталей може легко виграти загрозливих акторів. У цьому випадку Вільямс зазначає, що RedHat оновив свій журнал змін перед офіційним випуском curl, який міг би надати кібератакникам важливу інформацію про невиправлені цілі, якби вразливість була настільки ж небезпечною, як передбачалося раніше.
Дійсно, Майк Макгуайр із Synopsys побачив небезпеку посилення уваги до оновлення curl і написав про це в блозі 9 жовтня.
«Незважаючи на відсутність додаткових подробиць про вразливість, суб’єкти загрози, безсумнівно, почнуть спроби використання», — написав Макгуайр. «Крім того, нечувано, що зловмисники публікують фіктивні «виправлені» версії проекту, пронизаного зловмисним програмним забезпеченням, щоб отримати перевагу від команд, які намагаються виправити вразливе програмне забезпечення».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/curl-bug-hype-fizzles-after-patching-reveal
- : має
- :є
- : ні
- $UP
- 2021
- 7
- 9
- a
- МЕНЮ
- про це
- За
- актори
- доданий
- Додатковий
- Додатково
- адреса
- Перевага
- консультативний
- після
- назад
- попереду
- Alex
- дозволяти
- по
- an
- та
- техніка
- додаток
- застосовується
- ЕСТЬ
- AS
- призначений
- передбачається
- At
- Спроби
- увагу
- BE
- було
- перед тим
- починати
- буття
- між
- Великий
- більший
- мільярди
- Блог
- буфера
- переповнення буфера
- Помилка
- by
- CAN
- випадок
- катастрофічний
- складні
- зміна
- обставин
- код
- співтовариство
- зміст
- навпаки
- копіювання
- Корупція
- може
- cve
- Кібербезпека
- Небезпечний
- Небезпеки
- Данило
- дані
- Днів
- розгортання
- позначення
- Незважаючи на
- деталі
- виявлено
- прилади
- Дон
- зроблений
- два
- під час
- легко
- Навіть
- виконання
- експерт
- Експлуатувати
- Файли
- Перший
- виправляти
- фіксованою
- недолік
- недоліки
- після
- для
- засновник
- фракція
- від
- від 2021
- отримати
- отримання
- даний
- було
- рука
- Мати
- має
- голова
- Високий
- капот
- господар
- Як
- HTML
- HTTPS
- величезний
- обман
- i
- if
- Вплив
- реалізація
- важливо
- in
- інцидент
- включені
- екземпляр
- замість
- Intel
- Намір
- питання
- IT
- ЙОГО
- сам
- JPG
- просто
- Знати
- довжина
- дозволяти
- бібліотека
- лежить
- Ймовірно
- обмеженою
- місцевий
- журнал
- log4j
- Довго
- багато часу
- довше
- шкідливих програм
- людина
- масивний
- максимальний
- засоби
- пам'яті
- Середній
- може бути
- мікрофон
- більше
- ім'я
- ні
- немає
- зараз
- номер
- жовтень
- of
- від
- офіційний
- часто
- on
- ONE
- тільки
- відкрити
- з відкритим вихідним кодом
- or
- з
- над
- проходити
- проходить
- пластир
- Патчі
- Виправлення
- plato
- Інформація про дані Платона
- PlatoData
- точок
- пошта
- потенціал
- представити
- раніше
- Проблема
- проект
- протоколи
- Доведіть
- повноваження
- рейтинг
- реакція
- звільнити
- випущений
- віддалений
- дослідження
- дозвіл
- вирішене
- рішення
- показувати
- позбавлений
- s
- Зазначений
- бачив
- говорить
- сценарій
- другий
- безпеку
- недолік безпеки
- побачити
- сповільнювати
- Софтвер
- Source
- автономні
- заявив,
- Заява
- Приймати
- Мета
- цілі
- команди
- технічний
- ніж
- Що
- Команда
- Там.
- думати
- це
- загроза
- актори загроз
- час
- до
- сьогодні
- занадто
- інструмент
- переклад
- два
- при
- безсумнівно
- Оновити
- оновлений
- Використання
- використання
- використовуваний
- значення
- змінна
- різний
- версії
- дуже
- вразливість
- Вразливий
- було
- коли
- який
- волі
- Вільямс
- виграти
- з
- хвилювалися
- найгірше
- Неправильно
- пише
- років
- Ти
- зефірнет