Główny programista Daniel Steinberg Wydano ulepszoną wersję Z Curl Wednesday, który dotyczy luki w zabezpieczeniach oprogramowania open source wysokiego ryzyka, która w ostatnich dniach wywołała niepokój w dużej części branży cyberbezpieczeństwa.
Curl 8.4.0 usuwa lukę w zabezpieczeniach oznaczoną jako CVE-2023-38545, którą można wykorzystać do spowodowania przepełnienia bufora opartego na stercie podczas uzgadniania proxy SOCKS5.
SOCKS5 to protokół służący do konfigurowania połączeń sieciowych za pośrednictwem „brokera”. Stenberg stwierdził w poście na blogu.
Stenberg ostrzegał wcześniej, że luka ta jest najgorszym problemem bezpieczeństwa wykrytym w Curl od dłuższego czasu i spowodował przyspieszenie wydania aktualizacji.
Badacze zajmujący się bezpieczeństwem uważnie monitorowali tę publikację, a niektórzy nawet porównywali potencjalne implikacje dla bezpieczeństwa ze skutkami Log4j.
„Chociaż wielu komercyjnych dostawców oprogramowania wdraża poprawki i aktualizacje zabezpieczeń według ustalonego harmonogramu, jest to stosunkowo rzadka praktyka w przypadku oprogramowania typu open source, co podkreśla znaczenie zbliżających się konsultacji dotyczących curl/libcurl” – powiedział Henrik Plett, badacz bezpieczeństwa w Endor Laboratoria. Poinformował o tym we wtorkowym oświadczeniu.
Według Plate, Curl, wydany pierwotnie w 1997 roku, jest szeroko stosowanym narzędziem do przesyłania plików przy użyciu różnych protokołów. Curl to jedno z dwóch półstandardowych narzędzi wiersza poleceń używanych do przesyłania plików w terminalach typu uniksowego, powiedział Blight.
Według Mike’a McGuire’a, starszego dyrektora ds. rozwiązań programowych w firmie Synopsis, zaciskanie zachowuje się domyślnie, co zazwyczaj chroni przed luką. Jednakże McGuire powiedział, że ta ochrona nie jest uwzględniona w wersjach libcurl od 7.69.0 do 8.3.0.
Nowa wersja 8.4.0 rozwiązuje ten problem, zwracając komunikat o błędzie, gdy nazwa hosta przekracza 255 bajtów, „co jest jednym z warunków prowadzących do krytycznego przepełnienia bufora w wersjach podatnych na ataki” – powiedział McGuire.