几天来,网络安全社区一直在焦急地等待有关两个安全漏洞的重大披露,据curl创始人丹尼尔·斯坦伯格(Daniel Stenberg)称,其中一个可能是“很长一段时间以来最严重的curl安全漏洞”。
Curl 是一种开源代理解析工具,用作在各种协议之间传输文件的“中间人”,它存在于数十亿个应用程序实例中。 大规模开源库缺陷的暗示唤起了人们对灾难性事件的回忆 log4j 缺陷 从 2021 年开始。正如 Cycode 安全研究主管 Alex Ilgayev 所担心的那样,“curl 库中的漏洞可能比两年前的 Log4j 事件更具挑战性。”
但继今天的 公布补丁和错误详细信息,这两个漏洞都没有达到宣传的效果。
影响有限数量的 Curl 部署
第一个漏洞是 基于堆的缓冲区溢出缺陷 根据 CVE-2023-38545 进行跟踪,由于存在数据损坏甚至远程代码执行 (RCE) 的可能性,因此被评为“高”。 根据该通报,问题在于 SOCKS5 代理切换。
“当要求curl 将主机名传递给SOCKS5 代理以允许其解析地址而不是由curl 本身完成时,主机名的最大长度为255 字节,”该公告指出。 “如果检测到主机名超过 255 个字节,curl 会切换到本地名称解析,并将解析后的地址仅传递给代理。”
该错误可能允许在 SOCKS5 握手期间传递错误的值。
“由于一个错误,表示‘让主机解析名称’的局部变量可能在缓慢的 SOCKS5 握手过程中获得错误的值,并且与意图相反,将太长的主机名复制到目标缓冲区,而不是仅复制那里已经解决了地址,”该咨询补充道。
然而,网络安全专家杰克·威廉姆斯表示,高严重性指定仅适用于一小部分部署。
“只有在非常有限的情况下才会出现严重的情况,”威廉姆斯说。 “我认为这只是一个问题,当你有一个库漏洞时,你知道这个库是如何被使用的。 您必须假设最坏的实施情况来分配 CVE。”
第二个curl错误在CVE-2023-38546下跟踪,是一个低严重性的cookie注入缺陷,仅影响libcurl库,而不影响curl本身。
“我认为这对于安全设备和设备(获取不受信任的内容并经常在幕后使用curl)来说是一个更大的问题,”安迪·霍尼戈尔德(Andy Hornegold)在一份针对curl bug细节发布的声明中表示。 “我不认为这对于独立使用来说是一个大问题。”
炒作解决方案的危险
除了让网络安全团队感到心痛之外,在技术细节发布之前大肆宣传修复措施还可以让威胁行为者轻松获胜。 在这种情况下,Williams 指出,RedHat 在正式发布curl 之前更新了其更改日志,如果该漏洞像之前假设的那样危险,这可能会为网络攻击者提供有关未修补目标的重要情报。
事实上,Synopsys 的 Mike McGuire 看到了对curl 更新的过度关注所带来的危险,并在 9 月 XNUMX 日的博客中写到了这一点。
麦奎尔写道:“尽管没有有关该漏洞的更多详细信息,但威胁行为者无疑会开始尝试利用该漏洞。” “此外,攻击者发布充满恶意软件的虚假“修复”项目版本,以利用团队忙于修补易受攻击的软件,这并非闻所未闻。”
- :具有
- :是
- :不是
- $UP
- 2021
- 7
- 9
- a
- 关于
- 关于它
- 根据
- 演员
- 添加
- 额外
- 另外
- 地址
- 优点
- advisory
- 后
- 前
- 向前
- 亚历克斯
- 让
- 沿
- an
- 和
- 家电
- 应用领域
- 适用
- 保健
- AS
- 分配
- 假定
- At
- 尝试
- 关注我们
- BE
- 很
- before
- 开始
- 作为
- 之间
- 大
- 大
- 十亿美元
- 博客
- 缓冲
- 缓冲区溢出
- 问题
- by
- CAN
- 案件
- 灾难性
- 挑战
- 更改
- 情况
- 码
- 社体的一部分
- 内容
- 相反
- 仿形
- 腐败
- 可以
- CVE
- 网络安全
- 危险的
- 危险
- 丹尼尔
- data
- 一年中的
- 部署
- 约会
- 尽管
- 详情
- 检测
- 设备
- 不
- 完成
- 两
- ,我们将参加
- 易
- 甚至
- 执行
- 技术专家
- 利用
- 档
- (名字)
- 固定
- 固定
- 缺陷
- 缺陷
- 以下
- 针对
- 创办人
- 分数
- 止
- 从2021
- 得到
- 越来越
- 特定
- 民政事务总署
- 手
- 有
- 有
- 头
- 高
- 兜帽
- 主持人
- 创新中心
- HTML
- HTTPS
- 巨大
- 炒作
- i
- if
- 影响
- 履行
- 重要
- in
- 事件
- 包括
- 例
- 代替
- 英特尔
- 意图
- 问题
- IT
- 它的
- 本身
- JPG
- 只是
- 知道
- 长度
- 让
- 自学资料库
- 谎言
- 容易
- 有限
- 本地
- 日志
- 日志4j
- 长
- 长时间
- 不再
- 恶意软件
- 男子
- 大规模
- 最多
- 手段
- 回忆
- 中间
- 可能
- 麦克风
- 更多
- 姓名
- 也不
- 没有
- 现在
- 数
- 十月
- of
- 折扣
- 官方
- 经常
- on
- 一
- 仅由
- 打开
- 开放源码
- or
- 输出
- 超过
- 通过
- 通行证
- 打补丁
- 补丁
- 修补
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 帖子
- 潜力
- 当下
- 先前
- 市场问题
- 项目
- 协议
- 证明
- 代理
- 等级
- 反应
- 释放
- 发布
- 远程
- 研究
- 分辨率
- 解决
- 解决
- 揭示
- 乱七八糟
- s
- 说
- 锯
- 说
- 脚本
- 其次
- 保安
- 安全漏洞
- 看到
- 放慢
- 软件
- 来源
- 独立
- 说
- 个人陈述
- 采取
- 目标
- 目标
- 队
- 文案
- 比
- 这
- 那里。
- 认为
- Free Introduction
- 威胁
- 威胁者
- 次
- 至
- 今晚
- 也有
- 工具
- 转让
- 二
- 下
- 无疑
- 更新
- 更新
- 用法
- 使用
- 用过的
- 折扣值
- 变量
- 各个
- 版本
- 非常
- 漏洞
- 脆弱
- 是
- ,尤其是
- 这
- 将
- 威廉姆斯
- 赢
- 担心
- 最差
- 错误
- 写
- 年
- 完全
- 和风网