补丁曝光后，Curl Bug 炒作以失败告终

几天来，网络安全社区一直在焦急地等待有关两个安全漏洞的重大披露，据curl创始人丹尼尔·斯坦伯格(Daniel Stenberg)称，其中一个可能是“很长一段时间以来最严重的curl安全漏洞”。

Curl 是一种开源代理解析工具，用作在各种协议之间传输文件的“中间人”，它存在于数十亿个应用程序实例中。 大规模开源库缺陷的暗示唤起了人们对灾难性事件的回忆 log4j 缺陷 从 2021 年开始。正如 Cycode 安全研究主管 Alex Ilgayev 所担心的那样，“curl 库中的漏洞可能比两年前的 Log4j 事件更具挑战性。”

但继今天的 公布补丁和错误详细信息，这两个漏洞都没有达到宣传的效果。

影响有限数量的 Curl 部署

第一个漏洞是 基于堆的缓冲区溢出缺陷 根据 CVE-2023-38545 进行跟踪，由于存在数据损坏甚至远程代码执行 (RCE) 的可能性，因此被评为“高”。 根据该通报，问题在于 SOCKS5 代理切换。

“当要求curl 将主机名传递给SOCKS5 代理以允许其解析地址而不是由curl 本身完成时，主机名的最大长度为255 字节，”该公告指出。 “如果检测到主机名超过 255 个字节，curl 会切换到本地名称解析，并将解析后的地址仅传递给代理。”

该错误可能允许在 SOCKS5 握手期间传递错误的值。

“由于一个错误，表示‘让主机解析名称’的局部变量可能在缓慢的 SOCKS5 握手过程中获得错误的值，并且与意图相反，将太长的主机名复制到目标缓冲区，而不是仅复制那里已经解决了地址，”该咨询补充道。

然而，网络安全专家杰克·威廉姆斯表示，高严重性指定仅适用于一小部分部署。

“只有在非常有限的情况下才会出现严重的情况，”威廉姆斯说。 “我认为这只是一个问题，当你有一个库漏洞时，你知道这个库是如何被使用的。 您必须假设最坏的实施情况来分配 CVE。”

第二个curl错误在CVE-2023-38546下跟踪，是一个低严重性的cookie注入缺陷，仅影响libcurl库，而不影响curl本身。

“我认为这对于安全设备和设备（获取不受信任的内容并经常在幕后使用curl）来说是一个更大的问题，”安迪·霍尼戈尔德（Andy Hornegold）在一份针对curl bug细节发布的声明中表示。 “我不认为这对于独立使用来说是一个大问题。”

炒作解决方案的危险

除了让网络安全团队感到心痛之外，在技术细节发布之前大肆宣传修复措施还可以让威胁行为者轻松获胜。 在这种情况下，Williams 指出，RedHat 在正式发布curl 之前更新了其更改日志，如果该漏洞像之前假设的那样危险，这可能会为网络攻击者提供有关未修补目标的重要情报。

事实上，Synopsys 的 Mike McGuire 看到了对curl 更新的过度关注所带来的危险，并在 9 月 XNUMX 日的博客中写到了这一点。

麦奎尔写道：“尽管没有有关该漏洞的更多详细信息，但威胁行为者无疑会开始尝试利用该漏洞。” “此外，攻击者发布充满恶意软件的虚假“修复”项目版本，以利用团队忙于修补易受攻击的软件，这并非闻所未闻。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/vulnerabilities-threats/curl-bug-hype-fizzles-after-patching-reveal