JFrog untersucht Anfälligkeiten genauer Wie cURL- und libcurl-Lücken sich auswirken

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

Confluent Germany GmbH

Die Sicherheitsexperten von JFrog haben die mit der cURL-Version 8.4.0 behobenen Anfälligkeiten genauer analysiert. Die Details zur Anfälligkeit der betroffenen Komponenten hat das Unternehmen nun geteilt.

Bereits am Mittwoch, 4. Oktober 2023, kündigte Daniel Stenberg als einer der Hauptbetreuer von cURL an, dass Version 8.4.0 Fixes für zwei entdeckte Schwachstellen enthalte. Gemeint waren die als geringfügig eingestufte Lücke CVE-2023-38546 und die als kritisch betrachtete Anfälligkeit CVE-2023-38545.

Die weniger schwerwiegende Schwachstelle CVE-2023-38546 betrifft ausschließlich, eine Entwicklerbibliothek von cURL für die Integration von cURL-APIs in eigenen Code. Betroffen sind die Versionen von 7.9.1 bis 8.3.0. Die kritischere Schwachstelle CVE-2023-38545 betrifft sowohl das cURL-Befehlszeilen-Tool als auch libcurl, mit betroffenen Versionen von 7.69.0 bis 8.3.0.

Letztere Sicherheitslücke kann einen Heap-Overflow verursacht, der sich theoretisch für eine Code-Ausführung von entfernter Stelle (Remote-Code-Execution, RCE) missbrauchen ließe. Zwischenzeitlich wurden Proof-of-Concepts veröffentlicht, die zeigen, wie man über einen vom Angreifer manipulierten Zeiger einen Dienstausfall (Denial of Service, DoS) erzeugt. Zum aktuellen Zeitpunkt sind noch keine Exploits in Form einer Remote-Code-Ausführung bekannt.

Im Detail liegt die Schwachstelle CVE-2023-38545 im Netzwerkprotokoll SOCKS5 begründet. Dieses ermöglicht es Nutzern, ihren Datenverkehr über einen externen Server umzuleiten und wird aufgrund der Verbesserung von Sicherheit und Anonymität sowie der Möglichkeit, Inhaltsbeschränkungen zu umgehen, häufig für eine Vielzahl an Anwendungen wie Webbrowser und Torrent-Clients genutzt.

Die SOCKS5-Proxy-Server bieten zwei Hauptauflösungsmodi, wie JFrog erläutert, nämlich „remote" und „local". Im Remote-Modus führe der Proxy-Server die DNS-Auflösung durch, was die Privatsphäre verbessert und direkte Verbindungen zu externen DNS-Servern reduziert. Im Local-Modus übernimmt der DNS-Resolver des Clients die Namensauflösung, was die Leistung verbessern kann, jedoch die Anonymität reduziert.

Der Sicherheitsfehler entsteht, wenn eine Verbindung zu einem vom Angreifer kontrollierten HTTP-Server über einen SOCKS5-Proxy mit Remote-Hostnamenauflösung (unter Verwendung des Schemas socks5h://) aufgebaut wird. Der Untersuchung zufolge muss ein Angreifer dafür einen übermäßig langen Hostnamen in einen kleinen lokalen heapbasierten Puffer kopieren.

Um diese Schwachstellen zu beseitigen, sollten Nutzer auf die neueste cURL-Version 8.4.0 aktualisieren und sicherstellen, dass sie alle potenziell betroffenen Versionen identifizieren. Mehrere Linux-Distributionen wie Debian, Ubuntu, Alpine und SUSE haben bereits entsprechend gepatchte Versionen bereitgestellt, während für Red Hat noch Fixes in Arbeit sind. Die JFrog-eigene DevOps-Plattform hingegen sei nicht betroffen, da sie keine SOCKS5-Proxies mit Remote-Hostnamenauflösung nutzt.

(ID:49764699)