سیکیورٹی ٹیموں کو بحران سے نمٹنے کے لیے بحران کے موڈ میں جانے کی ضرورت نہیں ہے۔ کمانڈ لائن ٹول curl اور libcurl لائبریری میں حال ہی میں طے شدہ خطرات، لیکن اس کا مطلب یہ نہیں ہے کہ انہیں متاثرہ نظاموں کی شناخت اور تدارک کے بارے میں فکر کرنے کی ضرورت نہیں ہے۔ اگر سسٹمز فوری طور پر قابل استعمال نہیں ہیں، تو سیکیورٹی ٹیموں کے پاس ان اپ ڈیٹس کرنے کے لیے کچھ وقت ہوتا ہے۔
یہ ٹیک ٹِپ اس بارے میں رہنمائی کو جمع کرتی ہے کہ سیکیورٹی ٹیموں کو یہ یقینی بنانے کے لیے کیا کرنا چاہیے کہ وہ خطرے میں نہیں ہیں۔
یونکس اور لینکس سسٹمز کے لیے ایک بنیادی نیٹ ورکنگ ٹول، cURL کو ڈیٹا کی منتقلی کے لیے کمانڈ لائنز اور اسکرپٹس میں استعمال کیا جاتا ہے۔ اس کا پھیلاؤ اس حقیقت کی وجہ سے ہے کہ اسے اسٹینڈ لون یوٹیلیٹی (curl) کے ساتھ ساتھ ایک لائبریری کے طور پر بھی استعمال کیا جاتا ہے جو کہ بہت سی مختلف قسم کی ایپلی کیشنز (libcurl) میں شامل ہے۔ libcurl لائبریری، جو ڈویلپرز کو اپنے کوڈ سے curl APIs تک رسائی حاصل کرنے کی اجازت دیتی ہے، کوڈ میں براہ راست متعارف کرایا جا سکتا ہے، انحصار کے طور پر استعمال کیا جاتا ہے، آپریٹنگ سسٹم بنڈل کے حصے کے طور پر استعمال کیا جاتا ہے، ڈوکر کنٹینر کے حصے کے طور پر شامل کیا جاتا ہے، یا اس پر انسٹال کیا جا سکتا ہے۔ Kubernetes کلسٹر نوڈ۔
CVE-2023-38545 کیا ہے؟
اعلی شدت کا خطرہ curl اور libcurl کو متاثر کرتا ہے۔ ورژن 7.69.0 سے 8.3.0 تک، اور کم شدت کا خطرہ libcurl ورژن 7.9.1 سے 8.3.0 پر اثر انداز ہوتا ہے۔ تاہم، پہلے سے طے شدہ حالات میں کمزوریوں کا فائدہ نہیں اٹھایا جا سکتا۔ خطرے کو متحرک کرنے کی کوشش کرنے والے حملہ آور کو حملہ آور کے کنٹرول میں ایک بدنیتی پر مبنی سرور پر curl کی نشاندہی کرنے کی ضرورت ہوگی، اس بات کو یقینی بنائیں کہ curl SOCKS5 پراکسی کا استعمال کر رہا ہے proxy-resolver موڈ کا استعمال کر رہا ہے، curl کو خودکار طور پر ری ڈائریکٹس کی پیروی کرنے کے لیے ترتیب دیں، اور بفر سائز کو ایک چھوٹا سیٹ کریں۔ سائز
کے مطابق یائر مزرحی، JFrog کے ایک سینئر سیکورٹی محقق کے مطابق، libcurl لائبریری خطرے سے دوچار ہے۔ صرف اگر مندرجہ ذیل ماحولیاتی متغیرات سیٹ ہیں: CURLOPT_PROXYTYPE ٹائپ کرنے کے لیے سیٹ کریں۔ CURLPROXY_SOCKS5_HOSTNAME؛ یا CURLOPT_PROXY or CURLOPT_PRE_PROXY سکیم کے لئے مقرر جرابیں 5h://. اگر پراکسی ماحول کے متغیرات میں سے ایک کو استعمال کرنے کے لیے سیٹ کیا گیا ہے تو لائبریری بھی خطرے سے دوچار ہے۔ جرابیں 5h:// سکیم کمانڈ لائن ٹول صرف اس صورت میں کمزور ہے جب اسے کے ساتھ عمل میں لایا جائے۔ -socks5-میزبان نام پرچم، یا کے ساتھ -پراکسی (-x) یا - پری پراکسی اسکیم کو استعمال کرنے کے لیے تیار ہے۔ جرابیں 5h://. یہ بھی خطرے سے دوچار ہے اگر curl کو متاثرہ ماحولیاتی متغیرات کے ساتھ عمل میں لایا جائے۔
"مشین کو کمزور کرنے کے لیے پیشگی شرائط کا مجموعہ درکار ہے (پچھلا حصہ دیکھیں) ابتدائی طور پر خیال کیے جانے سے زیادہ پابندی والا ہے۔ لہذا، ہمیں یقین ہے کہ کرل استعمال کرنے والوں کی اکثریت اس خطرے سے متاثر نہیں ہوگی،" میزراہی نے تجزیہ میں لکھا۔
کمزور نظاموں کے لیے ماحولیات کو اسکین کریں۔
سب سے پہلے جو کام تنظیموں کو کرنے کی ضرورت ہے وہ یہ ہے کہ وہ اپنے ماحول کا دائرہ کار کرل اور libcurl کا استعمال کرتے ہوئے تمام سسٹمز کی شناخت کریں تاکہ یہ اندازہ لگایا جا سکے کہ آیا وہ پیشگی شرائط موجود ہیں۔ سائکوڈ میں سیکورٹی ریسرچ کے سربراہ الیکس الگائیف نے نوٹ کیا کہ تنظیموں کو اپنے سسٹمز کی انوینٹری کرنی چاہیے اور کوڈ، سکیننگ کنٹینرز، اور ایپلیکیشن سیکیورٹی پوزیشن مینجمنٹ یوٹیلیٹیز کے لیے سافٹ ویئر کمپوزیشن اینالیسس ٹولز کا استعمال کرتے ہوئے اپنے سافٹ ویئر کی ترسیل کے عمل کا جائزہ لینا چاہیے۔ اگرچہ کمزوری curl کے ہر عمل کو متاثر نہیں کرتی ہے، لیکن متاثرہ نظاموں کی شناخت کرنا آسان ہو جائے گا اگر ٹیم دیکھنے کے لیے ممکنہ مقامات کی فہرست کے ساتھ شروع کرے۔
درج ذیل کمانڈز اس بات کی نشاندہی کرتی ہیں کہ curl کے کون سے ورژن انسٹال ہیں:
لینکس/میک او ایس:
find / -name curl 2>/dev/null -exec echo "ملا: {}" ; -exec {} --version ;
ونڈوز:
Get-ChildItem -Path C: -Recurse -ErrorAction خاموشی سے جاری رکھیں -Filter curl.exe | ForEach-Object { Write-Host "Found: $($_.FullName)"؛ & $_.FullName --version }
GitHub کے پاس ایک ہے۔ اینڈپوائنٹ کے لیے ڈیفنڈر میں چلانے کے لیے استفسار ماحول میں موجود تمام آلات کی شناخت کرنے کے لیے جن میں curl نصب ہے یا curl استعمال کرتے ہیں۔ Qualis نے اپنے قواعد شائع کیے ہیں۔ اس کے پلیٹ فارم کو استعمال کرنے کے لیے۔
ڈوکر کنٹینرز یا دیگر کنٹینر ٹیکنالوجیز استعمال کرنے والی تنظیموں کو بھی کمزور ورژن کے لیے تصاویر کو اسکین کرنا چاہیے۔ بڑی تعداد میں دوبارہ تعمیرات متوقع ہیں، خاص طور پر ڈوکر امیجز اور اسی طرح کے اداروں میں جو liburl کاپیاں شامل کرتے ہیں۔ ڈوکر نے ایک ساتھ کھینچ لیا ہے۔ ہدایات کی ایک فہرست تمام تصاویر کا جائزہ لینے پر۔
موجودہ ذخیرہ تلاش کرنے کے لیے:
ڈاکر سکاؤٹ ریپو قابل --org /scout-demo
مقامی کنٹینر کی تصاویر کا تجزیہ کرنے کے لیے:
ڈاکر سکاؤٹ پالیسی [IMAGE] --org [ORG]
Endor Labs کے ایک سیکورٹی محقق، Henrik Plate کے مطابق، یہ مسئلہ کسی تنظیم میں استعمال کیے جانے والے تمام اوپن سورس سافٹ ویئر کا باریک بینی سے ٹریک رکھنے کی اہمیت کو اجاگر کرتا ہے۔
پلیٹ نے کہا، "کرل اور لیبکرل کے تمام استعمالات کے بارے میں جاننا اصل خطرے کا اندازہ لگانے اور تدارک کے اقدامات کرنے کی شرط ہے، چاہے وہ کرل کو پیچ کرنا ہو، غیر بھروسہ مند نیٹ ورکس سے متاثرہ سسٹم تک رسائی کو محدود کرنا ہو، یا دیگر انسدادی اقدامات کو نافذ کرنا،" پلیٹ نے کہا۔
Viakoo Labs کے نائب صدر جان گالاگھر نے مزید کہا کہ اگر ایپلی کیشن مواد کے سافٹ ویئر بل کے ساتھ آتی ہے، تو یہ curl کی مثالوں کی تلاش شروع کرنے کے لیے ایک اچھی جگہ ہوگی۔
صرف اس وجہ سے کہ خامیاں قابل استعمال نہیں ہیں اس کا مطلب یہ نہیں ہے کہ اپ ڈیٹس ضروری نہیں ہیں۔ پیچ دستیاب ہیں۔ براہ راست curl اور libcurl کے لئے، اور بہت سے آپریٹنگ سسٹمز (Debian، Ubuntu، Red Hat، وغیرہ) نے بھی فکسڈ ورژن کو آگے بڑھایا ہے۔ دیگر ایپلی کیشنز سے سیکیورٹی اپ ڈیٹس پر نظر رکھیں، کیونکہ libcurl ایک لائبریری ہے جسے بہت سے آپریٹنگ سسٹمز اور ایپلیکیشنز استعمال کرتے ہیں۔
JFrog's Mizrahi کے مطابق، SOCKS5 پراکسی سے جڑتے وقت اپ ڈیٹس کے تعینات ہونے تک ایک حل یہ ہے کہ curl کو مقامی ہوسٹ نام ریزولونگ استعمال کرنے پر مجبور کیا جائے۔ یہ نحو socks5 اسکیم کا استعمال کرتا ہے نہ کہ socks5h: curl -x socks5://someproxy.com. لائبریری میں ماحولیاتی متغیر کو تبدیل کریں۔ CURLPROXY_SOCKS5_HOSTNAME ساتھ CURLPROXY_SOCKS5.
بینجمن مار کے مطابق، ایک سیکیورٹی انجینئر گھسپیٹھیی, سیکورٹی ٹیموں کو ضرورت سے زیادہ بڑی تاروں کے لیے curl جھنڈوں کی نگرانی کرنی چاہیے، کیونکہ اس سے ظاہر ہوتا ہے کہ سسٹم سے سمجھوتہ کیا گیا ہے۔ جھنڈے ہیں۔ -socks5-میزبان نام، یا -پراکسی or - پری پراکسی اسکیم کو استعمال کرنے کے لیے تیار ہے۔ جرابیں 5h://.
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/dr-tech/how-to-scan-environment-vulnerable-curl
- : ہے
- : ہے
- : نہیں
- 1
- 7
- 8
- 9
- a
- ہمارے بارے میں
- تک رسائی حاصل
- کے مطابق
- اعمال
- اصل
- پتہ
- جوڑتا ہے
- پر اثر انداز
- مجموعات
- یلیکس
- تمام
- کی اجازت دیتا ہے
- بھی
- an
- تجزیہ
- تجزیے
- اور
- APIs
- درخواست
- درخواست سیکورٹی
- ایپلی کیشنز
- کیا
- AS
- تشخیص کریں
- اندازہ
- At
- خود کار طریقے سے
- دستیاب
- BE
- کیونکہ
- رہا
- کیا جا رہا ہے
- یقین ہے کہ
- خیال کیا
- بنیامین
- بل
- دونوں
- بفر
- بنڈل
- لیکن
- by
- کر سکتے ہیں
- نہیں کر سکتے ہیں
- کلسٹر
- کوڈ
- آتا ہے
- ساخت
- سمجھوتہ کیا
- حالات
- مربوط
- کنٹینر
- کنٹینر
- کنٹرول
- بحران
- اعداد و شمار
- پہلے سے طے شدہ
- ترسیل
- انحصار
- تعینات
- ڈویلپرز
- کے الات
- مختلف
- براہ راست
- do
- میں Docker
- کرتا
- نہیں
- نہیں کرتا
- ڈان
- نہیں
- دو
- آسان
- یاد آتی ہے
- کو چالو کرنے کے
- انجینئر
- کو یقینی بنانے کے
- اداروں
- ماحولیات
- ماحول
- وغیرہ
- اندازہ
- بھی
- ہر کوئی
- پھانسی
- وجود
- موجودہ
- توقع
- استحصال کیا۔
- آنکھ
- حقیقت یہ ہے
- مل
- پہلا
- مقرر
- پرچم
- خامیوں
- پر عمل کریں
- کے بعد
- کے لئے
- مجبور
- ملا
- سے
- اچھا
- رہنمائی
- تھا
- ٹوپی
- ہے
- سر
- ہائی
- پر روشنی ڈالی گئی
- کس طرح
- کیسے
- تاہم
- HTTPS
- شناخت
- کی نشاندہی
- if
- تصویر
- تصاویر
- فوری طور پر
- متاثر
- اثرات
- نفاذ
- پر عمل درآمد
- اہمیت
- in
- شامل
- شامل
- اشارہ کرتے ہیں
- ابتدائی طور پر
- نصب
- میں
- متعارف
- انوینٹری
- مسئلہ
- IT
- میں
- جان
- فوٹو
- رکھیں
- رکھتے ہوئے
- لیبز
- بڑے
- لائبریری
- لائنوں
- لینکس
- لسٹ
- مقامی
- مقامات
- دیکھو
- تلاش
- لو
- مشین
- اکثریت
- بنا
- انتظام
- بہت سے
- مواد
- مطلب
- پیچیدہ
- موڈ
- نگرانی
- زیادہ
- ضروری
- ضرورت ہے
- ضرورت
- نیٹ ورکنگ
- نیٹ ورک
- نوڈ
- نوٹس
- تعداد
- of
- on
- ایک
- صرف
- کھول
- اوپن سورس
- کام
- آپریٹنگ سسٹم
- آپریٹنگ سسٹم
- or
- حکم
- تنظیم
- تنظیمیں
- دیگر
- باہر
- خود
- حصہ
- خاص طور پر
- پیچ
- پیچ کرنا
- مقام
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹ
- پالیسی
- ممکنہ
- صدر
- پچھلا
- عمل
- پراکسی
- شائع
- دھکیل دیا
- ریڈ
- ریڈ ہیٹ
- کی جگہ
- تحقیق
- محقق
- کے حل
- پابندی لگانا
- پابندی
- رسک
- رن
- کہا
- اسکین
- سکیننگ
- سکیم
- گنجائش
- سکاؤٹ
- سکرپٹ
- سیکشن
- سیکورٹی
- دیکھنا
- سینئر
- سرور
- مقرر
- ہونا چاہئے
- اسی طرح
- بڑا
- سائز
- چھوٹے
- سافٹ ویئر کی
- سافٹ ویئر بل
- کچھ
- ماخذ
- اسٹینڈ
- شروع کریں
- شروع ہوتا ہے
- اس بات کا یقین
- سوئنگ
- نحو
- کے نظام
- سسٹمز
- لینے
- ٹیم
- ٹیموں
- ٹیک
- ٹیکنالوجی
- سے
- کہ
- ۔
- ان
- لہذا
- وہ
- بات
- اس
- ان
- اگرچہ؟
- وقت
- ٹپ
- کرنے کے لئے
- مل کر
- کے آلے
- اوزار
- ٹریک
- منتقل
- ٹرگر
- کی کوشش کر رہے
- اقسام
- اوبنٹو
- کے تحت
- یونیکس
- جب تک
- تازہ ترین معلومات
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- صارفین
- استعمال
- کا استعمال کرتے ہوئے
- افادیت
- کی افادیت
- متغیر
- وسیع
- ورژن
- وائس
- نائب صدر
- نقصان دہ
- خطرے کا سامنا
- قابل اطلاق
- we
- اچھا ہے
- کیا
- جب
- چاہے
- جس
- ساتھ
- فکر
- گا
- لکھا ہے
- اور
- زیفیرنیٹ