Curl v8.4.0 çıktı ve diğer şeylerin yanı sıra yüksek önemdeki SOCKS5 yığın arabellek taşması güvenlik açığını (CVE-2023-38545) düzeltiyor.
Bazı eski curl versiyonları için uygun yamalar da yayınlandı.
Güvenlik güncellemelerine hazırlık
Bir haftadan biraz daha uzun bir süre önce baş geliştirici Daniel Stenberg, en yeni curl sürümünün yakında yayınlanacağını duyurdu ve bu sürümün, bugün açıklanan düşük öneme sahip bir hata olan CVE-2023-38545 ve CVE-2023-38546 için yamalar taşıyacağını söyledi. çerez enjeksiyon hatası olarak.
Curl (yani libcurl kütüphanesi) çok çeşitli işletim sistemleri, uygulamalar ve IoT cihazları tarafından kullanıldığından, kuruluşların kendi sistemlerini denetlemelerine, kullanımda olan tüm curl ve libcurl örneklerini bulmalarına olanak tanıdığı için ön duyuru anlamlıdır. ve kurumsal çapta yama uygulaması için bir plan yapın.
Curl projesi aynı zamanda kusurlarla ilgili bilgileri çeşitli Linux, Unix ve Unix benzeri dağıtımların geliştiricileriyle eşzamanlı olarak paylaştı, böylece curl v8.4.0 sürümünden önce yamalar/güncellenmiş paketler hazırlayabildiler.
CVE-2023-38545 ve CVE-2023-38546 hakkında
Jay Satiro tarafından bildirilen CVE-2023-38545, curl komut satırı aracını ve libcurl (istemci tarafı URL aktarımı) kitaplığını etkiliyor. SOCKS5 proxy el sıkışmasında kıvrılma taşmasını yığın tabanlı bir arabellek haline getirir.
“Curl’ün, adresin curl tarafından yapılması yerine çözümlenmesine izin vermek için ana bilgisayar adını SOCKS5 proxy’sine iletmesi istendiğinde, ana bilgisayar adının olabileceği maksimum uzunluk 255 bayttır. Ana bilgisayar adının 255 bayttan uzun olduğu tespit edilirse, curl yerel ad çözümlemeye geçer ve bunun yerine çözümlenen adresi yalnızca proxy’ye aktarır,” ilgili öneride açıklanmaktadır.
“Bir hata nedeniyle, ‘ana bilgisayarın adı çözümlemesine izin ver’ anlamına gelen yerel değişken, yavaş bir SOCKS5 anlaşması sırasında yanlış değeri alabilir ve niyetin aksine, yalnızca ana makine adını kopyalamak yerine çok uzun ana bilgisayar adını hedef ara belleğe kopyalayabilir. adresi orada çözüldü.”
Bugün yayınlanan bir blog yazısında belirttiği gibi, hata yanlışlıkla libcurl 7.69.0’da Stenberg’in kendisi tarafından ortaya çıkarıldı. (Hatayla ilgili daha fazla teknik ayrıntıyı HackerOne raporunda da bulabilirsiniz.)
Bir saldırganın yığın arabellek taşmasını tetiklemek için:
- Libcurl kullanan bir istemcinin SOCKS5 proxy üzerinden (proxy çözümleyici modunu kullanarak) eriştiği bir HTTPS sunucusunu kontrol etmelidir
- Sunucunun, HTTP 30x yanıtı yoluyla uygulamaya hazırlanmış bir yönlendirme (ana bilgisayar adının 16kB’den uzun ve 64kB’ye kadar olduğu bir Konum: başlığını içeren) döndürmesini sağlayın
“İstemciyi kullanan libcurl’de otomatik yönlendirme takibi etkinse ve SOCKS5 proxy’si yerel değişken hatasını tetikleyecek kadar ‘yeterince yavaşsa’, hazırlanmış ana bilgisayar adını çok küçük ayrılmış ara belleğe ve bitişik yığın belleğine kopyalayacaktır.” Stenberg açıkladı.
Mastodon hakkındaki bir tartışmada, Tor kullanıcılarının güvenliği ihlal edilmiş bir HTTPS sitesini ziyaret etmesini içeren gerçekçi bir istismar senaryosu da ortaya koydu.
CVE-2023-38545, 7.69.0 sürümünden v8.3.0’a (ve dahil) kadar curl ve libcurl’u etkiliyor.
Öte yandan CVE-2023-38546, libcurl’u yalnızca 7.9.1 sürümünden v8.3.0’a kadar (ve dahil) v8.3.0’a kadar etkiler, ancak bundan yararlanma olasılığı düşüktür. Bakımcılar, “Hatanın tetiklenmesi mümkün olsa bile, çerez enjeksiyonunun zarar verecek şekilde yapılması riski de ayrıca düşüktür” dedi.
Şimdi ne var?
Curl projesi, kullanıcılara curl/libcurl’u 8.4.0 sürümüne güncellemelerini veya eski sürümlere yama yapmalarını tavsiye ediyor ve tavsiyelerde ek/alternatif hafifletme önlemlerini paylaştı.
Libcurl/curl, birçok Linux dağıtımında varsayılan olarak kullanılır ve birçok kapsayıcı görüntüsüne dahil edilir; bu nedenle, çeşitli sağlayıcıların (Debian, Ubuntu, Red Hat vb.) sürümlerini takip edin.
Yamayla nasıl başa çıkılacağı ve olası tuzaklardan nasıl kaçınılacağı konusunda ek tavsiyeler için buraya gidin.