3. Taraf Risk Yönetimi, Yönetişim ve Risk Yönetimi, Yama Yönetimi
Açık Kaynak Komut Satırı Aracı, Kütüphane için Çarşamba Günü Güncellemeler Bekleniyor
Sayın Mihir (MihirBagwe) •
9 Ekim 2023
Her yerde bulunan açık kaynaklı komut satırı aracı cURL’nin bakımcıları, bu hafta açıklanacak iki güvenlik açığı hakkında bir uyarı yayınladı.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Kurucu, geliştirici ve bakımcı Daniel Stenberg, CVE-2023-38545 olarak takip edilen ve yüksek önem derecesine sahip, CVE-2023-38545 olarak takip edilen ve yüksek önem derecesine sahip bir güvenlik açığının “muhtemelen uzun zamandır görülen en kötü curl güvenlik açığı” olduğunu söyledi. kıvrılma.
Stenberg geçen hafta bir Github tavsiyesinde, 11 Ekim’de kullanıma sunulacak acil bir güvenlik sürümü için curl’un düzenli sürüm döngüsünü kısalttığını duyurdu.
İkinci güvenlik açığı olan CVE-2023-38546’nın, sistemi etkileyen düşük önem derecesine sahip bir sorun olduğu kabul edilmektedir. libcurlcurl’un arkasındaki kütüphane.
Geliştirici, sorunlu alanların açığa çıkmasını önlemek için teknik ayrıntıları gizledi ancak sorunu kullanıcıları uyarmak için bildirdiğini söyledi.
DevSecOps sağlayıcısı Synk, curl’un bağımsız bir yardımcı program ve diğer yazılımların ayrılmaz bir parçası olarak yaygın şekilde kullanıldığına dikkat çekti. Synk, “Snyk’in desteklediği Linux dağıtımlarının hepsi olmasa da çoğu libcurl kullanıyor, dolayısıyla potansiyel etki kapsamı geniş” diye uyardı Synk.
Siber güvenlik şirketi Qualys, libcurl’un, geliştiricilerin uygulamalarına güçlü veri aktarımı işlevselliğini dahil etmelerinde, HTTP istekleri, çerez yönetimi ve kimlik doğrulama gibi görevleri kolaylaştırmada hayati bir rol oynadığını açıkladı.
Geçtiğimiz yıl Beyaz Saray, açık kaynak güvenlik uzmanlarının katıldığı bir foruma ev sahipliği yaptı ve müzakerelerin ardından geçen ay, açık kaynak alanında siber güvenliği ele alan bir yol haritası açıklandı.
Ancak libwebp ve libvpx dahil olmak üzere açık kaynak araçlardaki çok sayıda güvenlik açığı, ticari casus yazılım satıcıları tarafından istismar edildiğine dair kanıtlar arttıkça endişelere yol açtı (bkz.: Chrome Yamaları Ticari Casus Yazılım Satıcısı Tarafından 0 Günlük Suistimal Edildi).
Amazon Web Services ayrıca geçen hafta büyük şirketlerin yapay zeka modelleri oluşturmada kullandığı açık kaynaklı bir araç olan TorchServe’i etkileyen bir güvenlik açığı konusunda uyardı (bkz: Amazon Web Services TorchServe Kusurlarına Karşı Uyardı).
Güvenlik açıkları yalnızca curl 8.4.0 sürümünde düzeltilecektir. Qualys, “Libcurl’de yaklaşmakta olan yüksek önem dereceli sorun, tüm kullanıcıları etkilemese de ihtiyatlı bir dikkat gerektiriyor.” dedi. “Paylaşılan libcurl kitaplığının güncellenmesi, işletim sistemleri genelinde beklenen evrensel çözümdür. Ancak bakımcıya göre, özellikle docker görüntülerinde ve libcurl kopyalarını içeren benzer varlıklarda oldukça fazla sayıda yeniden oluşturma bekleniyor.”
Docker, müşterilerinin kuruluşlarındaki herhangi bir konteyner görüntüsünde curl kitaplığını bağımlılık olarak kullanıp kullanmadıklarını kontrol etmelerine yardımcı olmak için ayrı bir öneri yayınladı.