image

Curl patcht gevaarlijke kwetsbaarheid die tot buffer overflow kan leiden

woensdag 11 oktober 2023, 10:45 door Redactie, 18 reacties

De makers van curl hebben vandaag een beveiligingsupdate beschikbaar gemaakt voor de 'gevaarlijkste kwetsbaarheid sinds lange tijd' die tot een buffer overflow op het systeem van gebruikers kan leiden. Buffer overflows maken het vaak mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren of een denial of service te veroorzaken. Om misbruik van de kwetsbaarheid (CVE-2023-38545) te kunnen maken zijn wel enkele voorwaarden vereist.

Curl is een library en command-line tool voor het versturen en ontvangen van data via verschillende netwerkprotocollen. De eerste versie verscheen al in 1996 onder de naam httpget. Vervolgens kreeg het de naam urlget, voordat het tot curl werd omgedoopt. De software is volgens de ontwikkelaars op twintig miljard 'instances' aanwezig.

Het beveiligingslek CVE-2023-38545 kan zich voordoen wanneer er gebruik wordt gemaakt van een SOCKS5 proxy. Wanneer een curl-client via een SOCKS5 proxy verbinding maakt met een malafide https-server, kan die de gebruiker naar een speciaal geprepareerde url doorsturen, die te groot is voor de buffer die curl voor de SOCKS5 proxy handshake gebruikt. Dit kan vervolgens tot de buffer overflow leiden. Sinds de eerste versie van de software zijn erin totaal veertig kwetsbaarheden in de software verholpen die, net als CVE-2023-38545, de beoordeling 'high' kregen.

Om de aanval te laten slagen zijn in totaal vier voorwaarden vereist, aldus onderzoeker Jay Satiro die het probleem ontdekte. Als eerste moet het request van de curl-client via een SOCKS5 proxy worden gemaakt. Daarnaast is het negotiation buffer van de machine kleiner dan 65541 bytes, de hello reply van de SOCKS5 proxy is langzaam genoeg en de aanvaller heeft een hostname ingesteld die groter is dan de negotiation buffer.

"Achteraf gezien is het toevoegen van een heap overflow aan code die op meer dan twintig miljard instances is geïnstalleerd geen ervaring die ik zou aanraden", aldus curl-maintainer Daniel Stenberg. Het probleem is aanwezig in libcurl 7.69.0 tot en met 8.3.0. Organisaties en gebruikers die van curl gebruikmaken wordt aangeraden om te updaten naar versie 8.4.0. Verder wordt geadviseerd geen CURLPROXY_SOCKS5_HOSTNAME proxies met curl te gebruiken en geen proxy-omgevingsvariabele in stellen die naar socks5h:// wijst.

Reacties (18)
11-10-2023, 10:50 door Anoniem
'gevaarlijkste kwetsbaarheid sinds lange tijd' aankondigen en dan hier mee komen???
wie heeft er nou een SOCKS5 proxy?
11-10-2023, 11:12 door Anoniem
Door Anoniem: 'gevaarlijkste kwetsbaarheid sinds lange tijd' aankondigen en dan hier mee komen???
wie heeft er nou een SOCKS5 proxy?

Dat is dan alleen maar goed toch?
11-10-2023, 11:29 door Anoniem
Door Anoniem:
Door Anoniem: 'gevaarlijkste kwetsbaarheid sinds lange tijd' aankondigen en dan hier mee komen???
wie heeft er nou een SOCKS5 proxy?

Dat is dan alleen maar goed toch?

Nee, ik denk NIET dat het goed is om beheerders lastig te vallen met aankondigingen van "gevaarlijke kwetsbaarheden" als ze helemaal niet gevaarlijk zijn! Daarmee verlies je de mogelijkheid om ooit nog kwetsbaarheden aan te kondigen die WEL gevaarlijk zijn, en onmiddelijke actie vereisen.

Niet alleen vereist deze "gevaarlijke kwetsbaarheid" een ongebruikelijke netwerk setup, maar daar komt nog eens bij dat om deze te exploiteren ook nog eens een verbinding met een malafide https-server nodig is. Maar in normaal gebruikelijke scenario's maakt curl helemaal geen verbinding met willekeurige servers. Het wordt normaal gesproken gebruikt in scripting scenario's waarbij bijvoorbeeld automatisch updates worden opgehaald of wellicht simpele implementaties van een REST API gemaakt worden. Maar dat zijn dan altijd vaste URL's die leiden naar bekende servers.

M.a.w. helemaal niet waarschijnlijk dat hier iets mee gebeurt. Maar wel grootse vooraankondigingen. Niet doen!
11-10-2023, 11:32 door Anoniem
Door Anoniem: 'gevaarlijkste kwetsbaarheid sinds lange tijd' aankondigen en dan hier mee komen???
wie heeft er nou een SOCKS5 proxy?
De oplossing aankondigen..... Is iets anders dan alleen maar een lek melden.
En curl wordt al een tijdje gebruikt.
Socks5 is heel bruikbaar om exfiltratie mogelijkheden te beperken.
Alle verkeer via Tor gebruikt socks5
(lib)curl wordt ook vaak in embedded systems gebruikt.. Dus ja het nogal een issue zijn.
11-10-2023, 11:32 door Anoniem
Door Anoniem: 'gevaarlijkste kwetsbaarheid sinds lange tijd' aankondigen en dan hier mee komen???
wie heeft er nou een SOCKS5 proxy?

Ben het helemaal met je eens dat het om een slechts hele bijzondere cases gaat.
Patchen gaat toch wel gebeuren maar ik ga zeker niet in paniek honderden servers per direct updaten voor zoiets specifieks.

Wel grappig, als dit het gevaarlijkste in tijden is kun je toch wel stellen dat curl de boel aardig voor elkaar heeft!
11-10-2023, 13:01 door Anoniem
Door Anoniem:
....
M.a.w. helemaal niet waarschijnlijk dat hier iets mee gebeurt. Maar wel grootse vooraankondigingen. Niet doen!

Hier sluit ik me volledig bij aan. Ik stond al in de startblokken om in grote stress vijf servers te moeten gaan updaten. Nu blijkt het een storm in een glas water.
11-10-2023, 13:02 door Anoniem
Door Anoniem: Nee, ik denk NIET dat het goed is om beheerders lastig te vallen met aankondigingen van "gevaarlijke kwetsbaarheden" als ze helemaal niet gevaarlijk zijn!
[...]
M.a.w. helemaal niet waarschijnlijk dat hier iets mee gebeurt. Maar wel grootse vooraankondigingen. Niet doen!
Kennelijk vertrouw jij beheerders niet toe dat ze de beschrijving van een kwetsbaarheid kunnen lezen en zelf kunnen beoordelen of het iets is dat de door hun beheerde systemen raakt, maar vertrouw je ze wel toe dat ze die systemen beheren.

Dat is iets waarbij ik de neiging heb om "Niet doen!" te roepen.
11-10-2023, 13:40 door Anoniem
Door Anoniem:wie heeft er nou een SOCKS5 proxy?
Allerlei onder developers populaire tunnelsoftware zoals ngrok.
11-10-2023, 14:42 door Anoniem
Ik heb zojuist de curl update ontvangen op Mint, (LMDE6) top!
De update zal er ongetwijfeld al eerder op hebben gestaan, maar ik zet nu pas m'n PC aan, lol.
11-10-2023, 15:27 door _R0N_
Door Anoniem: 'gevaarlijkste kwetsbaarheid sinds lange tijd' aankondigen en dan hier mee komen???
wie heeft er nou een SOCKS5 proxy?

Iedereen die Tor gebruikt?
11-10-2023, 15:36 door Anoniem
Door Anoniem: Ik heb zojuist de curl update ontvangen op Mint, (LMDE6) top!
De update zal er ongetwijfeld al eerder op hebben gestaan, maar ik zet nu pas m'n PC aan, lol.
Hier ook op Ubuntu 22.04.3 LTS is de update binnen.
11-10-2023, 15:38 door _R0N_
Voor wie een patch nodig heeft voor CentOS (geen officiele patch)
Laat wel simpel zien wat er aangepast moet worden https://gitlab.com/redhat/centos-stream/rpms/curl/-/commit/0783247f07250043dceb74e426f16f9d46147163
11-10-2023, 15:39 door Anoniem
Door _R0N_:
Door Anoniem: 'gevaarlijkste kwetsbaarheid sinds lange tijd' aankondigen en dan hier mee komen???
wie heeft er nou een SOCKS5 proxy?

Iedereen die Tor gebruikt?

Nou, met die mensen heb ik geen medelijden. Daar hoeft de rest van de wereld toch niet voor in paniek gebracht te worden?? Zeg er dan in de aankondiging meteen bij "heeft alleen betrekking op bepaalde scenario's zoals gebruik van Tor".
11-10-2023, 15:41 door Anoniem
Door Anoniem:
Door Anoniem: Nee, ik denk NIET dat het goed is om beheerders lastig te vallen met aankondigingen van "gevaarlijke kwetsbaarheden" als ze helemaal niet gevaarlijk zijn!
[...]
M.a.w. helemaal niet waarschijnlijk dat hier iets mee gebeurt. Maar wel grootse vooraankondigingen. Niet doen!
Kennelijk vertrouw jij beheerders niet toe dat ze de beschrijving van een kwetsbaarheid kunnen lezen en zelf kunnen beoordelen of het iets is dat de door hun beheerde systemen raakt, maar vertrouw je ze wel toe dat ze die systemen beheren.

Dat is iets waarbij ik de neiging heb om "Niet doen!" te roepen.

Wat je zou moeten doen is beter lezen! Het gaat me vooral om die bombastische vooraankondiging. Daar stond helemaal geen beschrijving in van het niche-scenario waarin die kwetsbaarheid kon worden uitgebuit.
11-10-2023, 17:29 door Anoniem
Door _R0N_:
Door Anoniem: 'gevaarlijkste kwetsbaarheid sinds lange tijd' aankondigen en dan hier mee komen???
wie heeft er nou een SOCKS5 proxy?

Iedereen die Tor gebruikt?

Dat zijn wereldwijd thans zo'n 4,2 miljoen mensen, waarvan om de nabij 70 duizend woonachtig zijn in Nederland.

https://metrics.torproject.org/userstats-relay-country.html
11-10-2023, 19:39 door Anoniem
Ah, meneer Kees van Tweakers geeft duiding:

https://tweakers.net/nieuws/214464/curl-repareert-ernstige-heap-overflowkwetsbaarheid.html?showReaction=19229040#r_19229040

Ik had eerlijk gezegd niet door dat dit cynisch was. Het blijkt dus dat cURL zijn zaakjes inderdaad, zeer goed op orde heeft.
12-10-2023, 00:00 door Anoniem
Door Anoniem: 'gevaarlijkste kwetsbaarheid sinds lange tijd' aankondigen en dan hier mee komen???
wie heeft er nou een SOCKS5 proxy?

Ik
12-10-2023, 10:50 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem: 'gevaarlijkste kwetsbaarheid sinds lange tijd' aankondigen en dan hier mee komen???
wie heeft er nou een SOCKS5 proxy?

Iedereen die Tor gebruikt?

Dat zijn wereldwijd thans zo'n 4,2 miljoen mensen, waarvan om de nabij 70 duizend woonachtig zijn in Nederland.

Dat zijn daggemiddelden. Het aantal Tor gebruikers in Nederland varieert ruwweg tussen de 50 a 90 duizend per dag.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.