广泛使用的Linux实用程序curl中发现了一个恶心的bug,并已经发布了补丁
已发布补丁:在广泛使用的Linux实用程序curl中发现恶心的bug
在大多数情况下,普通的Linux用户不知道什么是curl。但程序员和系统管理员则非常了解这个工具。
这个shell命令及其关联的库libcurl,被用于在你听说过的每种网络协议上传输数据,它在桌面、服务器、云端、汽车、电视机、路由器以及几乎每一台物联网(IoT)设备中都有使用。Curl的开发者估计它已经被使用超过200亿次。现在它出现了一个潜在的严重安全漏洞,CVE-2023-38545。
此外:Google Cloud、AWS和Cloudflare报告了有史以来最大的DDoS攻击
<p有多严重呢?curl的主要开发者daniel href="/?s=很长时间以来curl发现的最严重的安全问题。" stenberg在一篇博客文章中写道,这是“很长时间以来curl发现的最严重的安全问题。”他应该知道。
安全专家们也表示同样的看法。可以用一个词形容,那就是糟糕。
Qualys Threat Research Unit产品经理Saeed Abbasi警告说:
组织必须迅速地对使用curl和libcurl的所有系统进行清点、扫描和更新。特别是对于高危漏洞的严重性,需要立即谨慎地关注保护互联和网络感知应用的安全,确保curl和libcurl提供的丰富数据传输功能保持完好和安全。
<p具体来说,当有人使用SOCKS5代理协议时,这个安全漏洞会被触发。这个相当简单的协议通过一个专用的“中间人”来建立网络通信。这个协议在使用Tor时被使用,Tor是一种开源的互联网软件,用于实现匿名通信并从组织和公司内部访问互联网。一些虚拟专用网络,如NordVPN、Private Internet Access和Hide.Me,使用它来解除对互联网内容的屏蔽,并确保用户的匿名性。<p在mastodon的对话中,steinberg说,“在最现实的情况下,也许即使是新的Linux用户也可以做的7件事来更好地保护操作系统<pcve-2023-38545是一个堆溢出漏洞。它有可能被利用进行远程代码执行。已经有已经有一些概念验证展示了如何利用curl漏洞发动攻击的证据。
该安全漏洞在2020年2月引入,影响libcurl 7.69.0至包括8.3.0版本。
斯坦伯格对自己的错误感到尴尬:
现在阅读代码,不可能不看到这个错误。是的,不得不承认我在没有注意到的情况下犯了这个错误,然后这个漏洞在代码中却保持未被发现了1315天。我向大家道歉。我只是一个人……事后来看,在超过两千亿的实例中发布一个堆溢出是一次我不愿意推荐的经历。
并不是每个人都认为这没什么大不了。微软安全响应中心漏洞和缓解团队成员比尔·德米尔卡皮(Bill Demirkapi)在Twitter上发推表示:“这是curl找到的最严重的安全问题,但只有在受害者使用SOCKS5代理并连接到恶意服务器或在中间人攻击下时才能访问。我要回去睡觉。”
更不带讽刺的是,软件供应链公司JFrog指出:
可以有相当大的把握认为这个漏洞将被在野利用以进行远程代码执行,而且会有更复杂的利用方式被开发。然而,要导致机器容易受到攻击的前提条件(参见前一节)比最初认为的要严格得多。因此,我们相信绝大多数curl用户不会受到这个漏洞的影响。
要更精确些,引发curl安全问题的前提条件是:
-
通过socks5h进行curl请求。
-
curl状态机的协商缓冲区小于~65k。
-
被各个SOCKS服务器的“hello”回复延迟。
-
攻击者设置一个大于协商缓冲区的最终目标主机名。
这是很多前提条件。
然而,由于Curl在各种操作系统、应用程序和物联网设备中广泛使用,斯坦伯格早期发布了该问题的消息,这是一个明智的战略举措。这为组织提供了充分的时间来审核其系统,识别所有正在使用的curl和libcurl实例,并为全面的企业级修补计划进行开发。
curl项目并没有止步于此,他们同时与各种Linux、Unix和类Unix发行版的开发人员分享了有关这些缺陷的信息。这种协作方法确保在curl v8.4.0正式发布之前已经准备好了补丁和更新的软件包。
因此,我和curl项目都强烈建议用户更新到curl/libcurl 8.4.0版本,或对旧版本应用补丁以减轻与这些漏洞相关的风险。
由于libcurl/curl是许多Linux发行版的默认组件,也已经嵌入到很多容器镜像中,Linux用户应保持警惕,密切关注这些提供者的发布信息。大多数主要Linux发行商已经发布了修补程序。
</pcve-2023-38545是一个</p在mastodon的对话中,steinberg说,“在最现实的情况下,也许</p具体来说,当有人使用
