Curl patcht gevaarlijke kwetsbaarheid die tot buffer overflow kan leiden
De makers van curl hebben vandaag een beveiligingsupdate beschikbaar gemaakt voor de 'gevaarlijkste kwetsbaarheid sinds lange tijd' die tot een buffer overflow op het systeem van gebruikers kan leiden. Buffer overflows maken het vaak mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren of een denial of service te veroorzaken. Om misbruik van de kwetsbaarheid (CVE-2023-38545) te kunnen maken zijn wel enkele voorwaarden vereist.
Curl is een library en command-line tool voor het versturen en ontvangen van data via verschillende netwerkprotocollen. De eerste versie verscheen al in 1996 onder de naam httpget. Vervolgens kreeg het de naam urlget, voordat het tot curl werd omgedoopt. De software is volgens de ontwikkelaars op twintig miljard 'instances' aanwezig.
Het beveiligingslek CVE-2023-38545 kan zich voordoen wanneer er gebruik wordt gemaakt van een SOCKS5 proxy. Wanneer een curl-client via een SOCKS5 proxy verbinding maakt met een malafide https-server, kan die de gebruiker naar een speciaal geprepareerde url doorsturen, die te groot is voor de buffer die curl voor de SOCKS5 proxy handshake gebruikt. Dit kan vervolgens tot de buffer overflow leiden. Sinds de eerste versie van de software zijn erin totaal veertig kwetsbaarheden in de software verholpen die, net als CVE-2023-38545, de beoordeling 'high' kregen.
Om de aanval te laten slagen zijn in totaal vier voorwaarden vereist, aldus onderzoeker Jay Satiro die het probleem ontdekte. Als eerste moet het request van de curl-client via een SOCKS5 proxy worden gemaakt. Daarnaast is het negotiation buffer van de machine kleiner dan 65541 bytes, de hello reply van de SOCKS5 proxy is langzaam genoeg en de aanvaller heeft een hostname ingesteld die groter is dan de negotiation buffer.
"Achteraf gezien is het toevoegen van een heap overflow aan code die op meer dan twintig miljard instances is geïnstalleerd geen ervaring die ik zou aanraden", aldus curl-maintainer Daniel Stenberg. Het probleem is aanwezig in libcurl 7.69.0 tot en met 8.3.0. Organisaties en gebruikers die van curl gebruikmaken wordt aangeraden om te updaten naar versie 8.4.0. Verder wordt geadviseerd geen CURLPROXY_SOCKS5_HOSTNAME proxies met curl te gebruiken en geen proxy-omgevingsvariabele in stellen die naar socks5h:// wijst.
wie heeft er nou een SOCKS5 proxy?
wie heeft er nou een SOCKS5 proxy?
Dat is dan alleen maar goed toch?
wie heeft er nou een SOCKS5 proxy?
Dat is dan alleen maar goed toch?
Nee, ik denk NIET dat het goed is om beheerders lastig te vallen met aankondigingen van "gevaarlijke kwetsbaarheden" als ze helemaal niet gevaarlijk zijn! Daarmee verlies je de mogelijkheid om ooit nog kwetsbaarheden aan te kondigen die WEL gevaarlijk zijn, en onmiddelijke actie vereisen.
Niet alleen vereist deze "gevaarlijke kwetsbaarheid" een ongebruikelijke netwerk setup, maar daar komt nog eens bij dat om deze te exploiteren ook nog eens een verbinding met een malafide https-server nodig is. Maar in normaal gebruikelijke scenario's maakt curl helemaal geen verbinding met willekeurige servers. Het wordt normaal gesproken gebruikt in scripting scenario's waarbij bijvoorbeeld automatisch updates worden opgehaald of wellicht simpele implementaties van een REST API gemaakt worden. Maar dat zijn dan altijd vaste URL's die leiden naar bekende servers.
M.a.w. helemaal niet waarschijnlijk dat hier iets mee gebeurt. Maar wel grootse vooraankondigingen. Niet doen!
wie heeft er nou een SOCKS5 proxy?
En curl wordt al een tijdje gebruikt.
Socks5 is heel bruikbaar om exfiltratie mogelijkheden te beperken.
Alle verkeer via Tor gebruikt socks5
(lib)curl wordt ook vaak in embedded systems gebruikt.. Dus ja het nogal een issue zijn.
wie heeft er nou een SOCKS5 proxy?
Ben het helemaal met je eens dat het om een slechts hele bijzondere cases gaat.
Patchen gaat toch wel gebeuren maar ik ga zeker niet in paniek honderden servers per direct updaten voor zoiets specifieks.
Wel grappig, als dit het gevaarlijkste in tijden is kun je toch wel stellen dat curl de boel aardig voor elkaar heeft!
....
M.a.w. helemaal niet waarschijnlijk dat hier iets mee gebeurt. Maar wel grootse vooraankondigingen. Niet doen!
Hier sluit ik me volledig bij aan. Ik stond al in de startblokken om in grote stress vijf servers te moeten gaan updaten. Nu blijkt het een storm in een glas water.
[...]
M.a.w. helemaal niet waarschijnlijk dat hier iets mee gebeurt. Maar wel grootse vooraankondigingen. Niet doen!
Dat is iets waarbij ik de neiging heb om "Niet doen!" te roepen.
De update zal er ongetwijfeld al eerder op hebben gestaan, maar ik zet nu pas m'n PC aan, lol.
wie heeft er nou een SOCKS5 proxy?
Iedereen die Tor gebruikt?
De update zal er ongetwijfeld al eerder op hebben gestaan, maar ik zet nu pas m'n PC aan, lol.
Laat wel simpel zien wat er aangepast moet worden https://gitlab.com/redhat/centos-stream/rpms/curl/-/commit/0783247f07250043dceb74e426f16f9d46147163
wie heeft er nou een SOCKS5 proxy?
Iedereen die Tor gebruikt?
Nou, met die mensen heb ik geen medelijden. Daar hoeft de rest van de wereld toch niet voor in paniek gebracht te worden?? Zeg er dan in de aankondiging meteen bij "heeft alleen betrekking op bepaalde scenario's zoals gebruik van Tor".
[...]
M.a.w. helemaal niet waarschijnlijk dat hier iets mee gebeurt. Maar wel grootse vooraankondigingen. Niet doen!
Dat is iets waarbij ik de neiging heb om "Niet doen!" te roepen.
Wat je zou moeten doen is beter lezen! Het gaat me vooral om die bombastische vooraankondiging. Daar stond helemaal geen beschrijving in van het niche-scenario waarin die kwetsbaarheid kon worden uitgebuit.
wie heeft er nou een SOCKS5 proxy?
Iedereen die Tor gebruikt?
Dat zijn wereldwijd thans zo'n 4,2 miljoen mensen, waarvan om de nabij 70 duizend woonachtig zijn in Nederland.
https://metrics.torproject.org/userstats-relay-country.html
https://tweakers.net/nieuws/214464/curl-repareert-ernstige-heap-overflowkwetsbaarheid.html?showReaction=19229040#r_19229040
Ik had eerlijk gezegd niet door dat dit cynisch was. Het blijkt dus dat cURL zijn zaakjes inderdaad, zeer goed op orde heeft.
wie heeft er nou een SOCKS5 proxy?
Ik
wie heeft er nou een SOCKS5 proxy?
Iedereen die Tor gebruikt?
Dat zijn wereldwijd thans zo'n 4,2 miljoen mensen, waarvan om de nabij 70 duizend woonachtig zijn in Nederland.
Dat zijn daggemiddelden. Het aantal Tor gebruikers in Nederland varieert ruwweg tussen de 50 a 90 duizend per dag.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.