本周二,命令行工具curl曝出兩個漏洞(CVE-2023-38545、CVE-2023-38546),其中一個是高嚴重性漏洞。漏洞詳細信息將于10月11日星期三發布curl v8.4.0修復版本后公布。(目前最新版本是8.3.0)

受上述漏洞影響的包括curl(命令行工具)和libcurl(客戶端URL傳輸庫),兩個工具用于通過各種網絡協議傳輸數據。其中curl是一種廣泛極其廣泛的基礎開源軟件,用于通過URL傳輸數據。

根據curl的項目介紹,“curl廣泛應用于汽車、電視機、路由器、打印機、音頻設備、手機、平板電腦、醫療設備、機頂盒、電腦游戲、媒體播放器,并且是數千種軟件應用程序的互聯網傳輸引擎,安裝量超過200億,幾乎每位互聯網用戶日常都會用到curl。”

周三即將發布的curl v8.4.0版本將修復的兩個漏洞的大致信息如下:

  • CVE-2023-38545,一個影響libcurl庫和curl工具的高嚴重性漏洞;
  • CVE-2023-38546,一個低嚴重性漏洞,僅影響libcurl。

curl的作者兼首席開發人員Daniel Stenberg表示,這兩個漏洞中較嚴重的一個“可能是curl有史以來最嚴重的安全漏洞”。

由于Linux系統默認內置curl,因此curl項目方已將漏洞信息通知并共享給各種Linux發行版的開發者,以便他們提前準備補丁/更新,并在curl 8.4.0發布后快速發布。

Stenberg拒絕透露任何漏洞細節,但表示8.4.0版本中沒有更改API或ABI。

“即將發布的curl版本中沒有API或ABI變化。更新共享libcurl庫應該足以解決所有操作系統上的這個問題(漏洞)。”Stenberg指出。

Qualys威脅研究部門的產品經理Saeed Abbasi認為,由于沒有API/ABI更改,大大減少了企業安裝補丁前的測試和驗證工作量,有助于加快補丁修復速度,減少潛在的攻擊風險。此外,對于合規性至關重要的行業和項目,無需驗證和認證新的(補丁)集成有助于保持對相關法規和標準的合規性,而無需進行新的審計或檢查。

但是,由于許多Docker鏡像有自己的curl庫副本,因此許多都必須重新構建。Docker產品經理Jonathan Roberts建議用戶使用Docker Scout在整個容器存儲庫中查找curl依賴項。

Endor Labs的安全研究員Henrik Plate指出,攻擊者需要向存在漏洞的curl/libcurl實例提交URL來利用漏洞。因此在周三的安全更新之前,開發人員應該搶先檢索所有curl/libcurl用例并收集重要的上下文信息,特別是正在使用的curl/libcurl版本和特定的用例。上下文信息必須明確輸入到curl中的URL是否來自(不受信任的)用戶提供的輸入,因為攻擊者可能有機會提交URL(例如,包含特殊字符或指向攻擊者控制的域名)。

因此,緩解漏洞利用風險的措施除了安裝補丁,還應限制從不受信任的網絡訪問存在漏洞的系統。

值得注意的是,安全人員和開發人員面臨一個挑戰:curl命令行工具可以通過多種不同的方式安裝,例如,通過各種Linux發行版使用的yum和apt包管理器,或者更糟糕的是,只需從curl網站下載二進制文件。此類下載和后續執行通常是腳本化的,即Windows批處理文件或Unix shell腳本的一部分,這使得用戶很難找到全部用例。

Synopsys高級軟件解決方案經理Mike McGuire則警告用戶注意“更新陷阱”,因為攻擊者很有可能在團隊手忙腳亂之際發布隱藏惡意軟件的“修復版本”。

Sonatype安全研究員Ax Sharma表示,curl曝出的高嚴重性漏洞遠沒有Log4j棘手。因為大多數情況下curl作為命令行程序使用,與操作系統軟件包一同分發并作為系統級服務工具提供,這意味著正常的操作系統更新應該能自動處理這個問題。“它與Log4j非常不同,Log4j作為依賴項嵌入,更加底層且沒有直接更新功能。”Sharma說道。

軟件 網絡安全 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接