Thought Leadership
Die Sicherheitsexperten von JFrog haben die kürzlich veröffentlichte Version von Curl (8.4.0) untersucht, die Korrekturen für zwei Sicherheitslücken enthält. Eine dieser Sicherheitslücken wird als geringfügig eingestuft (CVE-2023-38546), während die zweite als kritisch betrachtet wird (CVE-2023-38545).
Welche Versionen von Curl sind betroffen?
CVE-2023-38546 ist eine weniger schwerwiegende Sicherheitslücke, die nur libcurl betrifft – eine Bibliothek, die vom Curl-Projekt bereitgestellt wurde und es Entwicklern ermöglicht, Curl-APIs in ihrem eigenen Code zu nutzen. Betroffen sind libcurl-Versionen von 7.9.1 bis 8.3.0.
CVE-2023-38545 hingegen ist eine gravierende Sicherheitslücke, die sich sowohl auf das Curl-Kommandozeilen-Tool als auch auf libcurl auswirkt. Dabei sind Versionen von Curl und libcurl zwischen 7.69.0 und 8.3.0. betroffen.
Wie wahrscheinlich ist es, dass CVE-2023-38545 in freier Wildbahn ausgenutzt wird?
CVE-2023-38545 ist ein Heap-Overflow, der potenziell für Remote Code Execution (RCE) ausgenutzt werden könnte. Es wurden zahlreiche Proof of Concepts veröffentlicht, die einen Denial of Service (DoS) durch Lesezugriff von einem vom Angreifer kontrollierten Zeiger aufweisen. Obwohl zum aktuellen Zeitpunkt keine Remote-Code-Execution-Exploits veröffentlicht oder diskutiert wurden, lassen sich Heap-Overflows häufig für Remote Code Execution ausnutzen.
CVE-2023-38545: Übersicht
SOCKS5 ist ein Netzwerkprotokoll, das Internetnutzern ermöglicht, ihren Datenverkehr über einen Remote-Server zu leiten. Dies bietet erhöhte Sicherheit, Anonymität und die Möglichkeit, bestimmte Inhaltsbeschränkungen zu umgehen. Besonders beliebt ist es aufgrund seiner Unterstützung verschiedener Anwendungen wie Webbrowser, Torrent-Clients und Online-Spielen.
Die SOCKS5-Proxy-Server bieten zwei Hauptauflösungsmodi: „remote” und „local”. Im Remote-Modus führt der Proxy-Server die DNS-Auflösung durch, was die Privatsphäre verbessert und direkte Verbindungen zu externen DNS-Servern reduziert. Im Local-Modus übernimmt der DNS-Resolver des Clients die Namensauflösung, was die Leistung verbessern kann, jedoch die Anonymität reduziert.
Die Sicherheitslücke ist ein Heap-Overflow, der ausgelöst wird, wenn eine Verbindung zu einem vom Angreifer kontrollierten HTTP-Server über einen SOCKS5-Proxy mit Remote-Hostnamenauflösung (unter Verwendung des Schemas socks5h://) hergestellt wird. Dies geschieht, wie während der Untersuchung festgestellt wurde, wenn ein übermäßig langer, vom Angreifer gesteuerter Hostname in einen kleinen lokalen heapbasierten Puffer kopiert wird.
CVE-2023-38545 und CVE-2023-38546 beheben
Betroffene sollten ein Update auf die neu veröffentlichte Curl-Version 8.4.0 durchführen, um beide Sicherheitslücken zu beheben. Zudem sollten sie sicherstellen, dass alle anfälligen Versionen identifiziert werden. Mehrere Linux-Distributionen, einschließlich Debian, Ubuntu, Alpine und SUSE, haben bereits gepatchte Versionen veröffentlicht. Für Red Hat stehen die Korrekturen noch aus.
Nach eingehender interner Untersuchung können die Sicherheitsexperten bestätigen, dass die JFrog DevOps-Plattform nicht anfällig für Curls CVE-2023-38545 ist, da sie keine SOCKS5-Proxys mit Remote-Hostnamenauflösung verwendet. User können JFrog Security Essentials (Xray) und JFrog Advanced Security verwenden, um jede Instanz von Curl in der gesamten Codebasis zu identifizieren – einschließlich kompilierter Artefakte, Docker-Container, Repository-Pakete und sogar eigenständiger Binärdateien.
www.jfrog.com
