De makers van curl hebben vandaag een beveiligingsupdate beschikbaar gemaakt voor de 'gevaarlijkste kwetsbaarheid sinds lange tijd' die tot een buffer overflow op het systeem van gebruikers kan leiden. Buffer overflows maken het vaak mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren of een denial of service te veroorzaken. Om misbruik van de kwetsbaarheid (CVE-2023-38545) te kunnen maken zijn wel enkele voorwaarden vereist.
Curl is een library en command-line tool voor het versturen en ontvangen van data via verschillende netwerkprotocollen. De eerste versie verscheen al in 1996 onder de naam httpget. Vervolgens kreeg het de naam urlget, voordat het tot curl werd omgedoopt. De software is volgens de ontwikkelaars op twintig miljard 'instances' aanwezig.
Het beveiligingslek CVE-2023-38545 kan zich voordoen wanneer er gebruik wordt gemaakt van een SOCKS5 proxy. Wanneer een curl-client via een SOCKS5 proxy verbinding maakt met een malafide https-server, kan die de gebruiker naar een speciaal geprepareerde url doorsturen, die te groot is voor de buffer die curl voor de SOCKS5 proxy handshake gebruikt. Dit kan vervolgens tot de buffer overflow leiden. Sinds de eerste versie van de software zijn erin totaal veertig kwetsbaarheden in de software verholpen die, net als CVE-2023-38545, de beoordeling 'high' kregen.
Om de aanval te laten slagen zijn in totaal vier voorwaarden vereist, aldus onderzoeker Jay Satiro die het probleem ontdekte. Als eerste moet het request van de curl-client via een SOCKS5 proxy worden gemaakt. Daarnaast is het negotiation buffer van de machine kleiner dan 65541 bytes, de hello reply van de SOCKS5 proxy is langzaam genoeg en de aanvaller heeft een hostname ingesteld die groter is dan de negotiation buffer.
"Achteraf gezien is het toevoegen van een heap overflow aan code die op meer dan twintig miljard instances is geïnstalleerd geen ervaring die ik zou aanraden", aldus curl-maintainer Daniel Stenberg. Het probleem is aanwezig in libcurl 7.69.0 tot en met 8.3.0. Organisaties en gebruikers die van curl gebruikmaken wordt aangeraden om te updaten naar versie 8.4.0. Verder wordt geadviseerd geen CURLPROXY_SOCKS5_HOSTNAME proxies met curl te gebruiken en geen proxy-omgevingsvariabele in stellen die naar socks5h:// wijst.
Deze posting is gelocked. Reageren is niet meer mogelijk.