Curl patcht gevaarlijke kwetsbaarheid die tot buffer overflow kan leiden
De makers van curl hebben vandaag een beveiligingsupdate beschikbaar gemaakt voor de 'gevaarlijkste kwetsbaarheid sinds lange tijd' die tot een buffer overflow op het systeem van gebruikers kan leiden. Buffer overflows maken het vaak mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren of een denial of service te veroorzaken. Om misbruik van de kwetsbaarheid (CVE-2023-38545) te kunnen maken zijn wel enkele voorwaarden vereist.
Curl is een library en command-line tool voor het versturen en ontvangen van data via verschillende netwerkprotocollen. De eerste versie verscheen al in 1996 onder de naam httpget. Vervolgens kreeg het de naam urlget, voordat het tot curl werd omgedoopt. De software is volgens de ontwikkelaars op twintig miljard 'instances' aanwezig.
Het beveiligingslek CVE-2023-38545 kan zich voordoen wanneer er gebruik wordt gemaakt van een SOCKS5 proxy. Wanneer een curl-client via een SOCKS5 proxy verbinding maakt met een malafide https-server, kan die de gebruiker naar een speciaal geprepareerde url doorsturen, die te groot is voor de buffer die curl voor de SOCKS5 proxy handshake gebruikt. Dit kan vervolgens tot de buffer overflow leiden. Sinds de eerste versie van de software zijn erin totaal veertig kwetsbaarheden in de software verholpen die, net als CVE-2023-38545, de beoordeling 'high' kregen.
Om de aanval te laten slagen zijn in totaal vier voorwaarden vereist, aldus onderzoeker Jay Satiro die het probleem ontdekte. Als eerste moet het request van de curl-client via een SOCKS5 proxy worden gemaakt. Daarnaast is het negotiation buffer van de machine kleiner dan 65541 bytes, de hello reply van de SOCKS5 proxy is langzaam genoeg en de aanvaller heeft een hostname ingesteld die groter is dan de negotiation buffer.
"Achteraf gezien is het toevoegen van een heap overflow aan code die op meer dan twintig miljard instances is geïnstalleerd geen ervaring die ik zou aanraden", aldus curl-maintainer Daniel Stenberg. Het probleem is aanwezig in libcurl 7.69.0 tot en met 8.3.0. Organisaties en gebruikers die van curl gebruikmaken wordt aangeraden om te updaten naar versie 8.4.0. Verder wordt geadviseerd geen CURLPROXY_SOCKS5_HOSTNAME proxies met curl te gebruiken en geen proxy-omgevingsvariabele in stellen die naar socks5h:// wijst.
wie heeft er nou een SOCKS5 proxy?
wie heeft er nou een SOCKS5 proxy?
Dat is dan alleen maar goed toch?
wie heeft er nou een SOCKS5 proxy?
Dat is dan alleen maar goed toch?
Nee, ik denk NIET dat het goed is om beheerders lastig te vallen met aankondigingen van "gevaarlijke kwetsbaarheden" als ze helemaal niet gevaarlijk zijn! Daarmee verlies je de mogelijkheid om ooit nog kwetsbaarheden aan te kondigen die WEL gevaarlijk zijn, en onmiddelijke actie vereisen.
Niet alleen vereist deze "gevaarlijke kwetsbaarheid" een ongebruikelijke netwerk setup, maar daar komt nog eens bij dat om deze te exploiteren ook nog eens een verbinding met een malafide https-server nodig is. Maar in normaal gebruikelijke scenario's maakt curl helemaal geen verbinding met willekeurige servers. Het wordt normaal gesproken gebruikt in scripting scenario's waarbij bijvoorbeeld automatisch updates worden opgehaald of wellicht simpele implementaties van een REST API gemaakt worden. Maar dat zijn dan altijd vaste URL's die leiden naar bekende servers.
M.a.w. helemaal niet waarschijnlijk dat hier iets mee gebeurt. Maar wel grootse vooraankondigingen. Niet doen!
wie heeft er nou een SOCKS5 proxy?
En curl wordt al een tijdje gebruikt.
Socks5 is heel bruikbaar om exfiltratie mogelijkheden te beperken.
Alle verkeer via Tor gebruikt socks5
(lib)curl wordt ook vaak in embedded systems gebruikt.. Dus ja het nogal een issue zijn.
wie heeft er nou een SOCKS5 proxy?
Ben het helemaal met je eens dat het om een slechts hele bijzondere cases gaat.
Patchen gaat toch wel gebeuren maar ik ga zeker niet in paniek honderden servers per direct updaten voor zoiets specifieks.
Wel grappig, als dit het gevaarlijkste in tijden is kun je toch wel stellen dat curl de boel aardig voor elkaar heeft!
....
M.a.w. helemaal niet waarschijnlijk dat hier iets mee gebeurt. Maar wel grootse vooraankondigingen. Niet doen!
Hier sluit ik me volledig bij aan. Ik stond al in de startblokken om in grote stress vijf servers te moeten gaan updaten. Nu blijkt het een storm in een glas water.
[...]
M.a.w. helemaal niet waarschijnlijk dat hier iets mee gebeurt. Maar wel grootse vooraankondigingen. Niet doen!
Dat is iets waarbij ik de neiging heb om "Niet doen!" te roepen.
De update zal er ongetwijfeld al eerder op hebben gestaan, maar ik zet nu pas m'n PC aan, lol.
wie heeft er nou een SOCKS5 proxy?
Iedereen die Tor gebruikt?
De update zal er ongetwijfeld al eerder op hebben gestaan, maar ik zet nu pas m'n PC aan, lol.
Laat wel simpel zien wat er aangepast moet worden https://gitlab.com/redhat/centos-stream/rpms/curl/-/commit/0783247f07250043dceb74e426f16f9d46147163
wie heeft er nou een SOCKS5 proxy?
Iedereen die Tor gebruikt?
Nou, met die mensen heb ik geen medelijden. Daar hoeft de rest van de wereld toch niet voor in paniek gebracht te worden?? Zeg er dan in de aankondiging meteen bij "heeft alleen betrekking op bepaalde scenario's zoals gebruik van Tor".
[...]
M.a.w. helemaal niet waarschijnlijk dat hier iets mee gebeurt. Maar wel grootse vooraankondigingen. Niet doen!
Dat is iets waarbij ik de neiging heb om "Niet doen!" te roepen.
Wat je zou moeten doen is beter lezen! Het gaat me vooral om die bombastische vooraankondiging. Daar stond helemaal geen beschrijving in van het niche-scenario waarin die kwetsbaarheid kon worden uitgebuit.
wie heeft er nou een SOCKS5 proxy?
Iedereen die Tor gebruikt?
Dat zijn wereldwijd thans zo'n 4,2 miljoen mensen, waarvan om de nabij 70 duizend woonachtig zijn in Nederland.
https://metrics.torproject.org/userstats-relay-country.html
https://tweakers.net/nieuws/214464/curl-repareert-ernstige-heap-overflowkwetsbaarheid.html?showReaction=19229040#r_19229040
Ik had eerlijk gezegd niet door dat dit cynisch was. Het blijkt dus dat cURL zijn zaakjes inderdaad, zeer goed op orde heeft.
wie heeft er nou een SOCKS5 proxy?
Ik
wie heeft er nou een SOCKS5 proxy?
Iedereen die Tor gebruikt?
Dat zijn wereldwijd thans zo'n 4,2 miljoen mensen, waarvan om de nabij 70 duizend woonachtig zijn in Nederland.
Dat zijn daggemiddelden. Het aantal Tor gebruikers in Nederland varieert ruwweg tussen de 50 a 90 duizend per dag.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
