Curl's 20-jährige Fehler ist widerstandsfähig - zurück für eine weitere Fix - CVE-2021-22925

Vor einigen Wochen wurde CVE-2021-22898 veröffentlicht. Sie betrifft curl/libcurl ab Version 7.7, datiert vom 22. März 2001. Es handelte sich um einen Fehler in der Art und Weise, wie eine selten verwendete Option, CURLOPT_TELNETOPTIONS, geparst wurde, was zu einer Datenexfiltration führen konnte. Damals wurde eine Korrektur erstellt und an die curl/libcurl-Codebasis übermittelt, und das Problem wurde behoben. Das heißt, bis CVE-2021-22925 am 21. Juli auftauchte. Offensichtlich hat die ursprüngliche Korrektur für die frühere Schwachstelle das Problem nicht korrekt gelöst, so dass eine neue Korrektur erstellt wurde.

Dieses Problem betrifft curl Version 7.7 bis 7.77.0, was in etwa allen curl Versionen entspricht, die standardmäßig in den meisten Linux-Distributionen der letzten 20 Jahre enthalten sind, mit Ausnahme der neuesten Distributionen, die curl 7.78.0 (oder höher) enthalten.

Das Extended Lifecycle Support-Team von TuxCare hat den neuen Patch für alle betroffenen Distributionen, nämlich CloudLinux 6, CentOS 6, OracleLinux 6 und Ubuntu 16.04, vorbereitet und mit der Bereitstellung begonnen.

Der Patch für die vorherige Schwachstelle behebt eine Situation, in der CURLOPT_TELNETOPTIONS missbraucht und dazu gebracht werden kann, unbeabsichtigte Daten nach außerhalb des Servers weiterzuleiten. Er übersah jedoch eine zweite Situation, in der dies ebenfalls geschehen konnte, und war daher unvollständig.

Die neue Korrektur behebt beide Situationen durch den korrekten Aufruf von sscanf() bei der Verarbeitung der von den aufrufenden Anwendungen bereitgestellten Zeichenketten, bevor die Daten an das andere Ende der Verbindung gesendet werden.

Derzeit ist kein Exploit für diese Schwachstelle bekannt, und die Option wird sehr selten verwendet. Andererseits werden curl und libcurl von vielen Anwendungen verwendet, die ihre Verwendung nicht immer explizit ankündigen. Sie sollten also nicht einfach davon ausgehen, dass es sicher ist, diese Sicherheitslücke zu ignorieren, wenn Sie diese Option nicht direkt verwenden, da eine andere Anwendung auf dem System genau das in einigen Hintergrundaufgaben tun könnte.

Nebenbei bemerkt: Die ursprüngliche Sicherheitslücke CVE-2021-22898, die dasselbe Problem in genau demselben Code behebt, korrigiert einen Code, der zum Zeitpunkt seiner Veröffentlichung 20 Jahre und 2 Monate alt war. Die aktuelle Sicherheitslücke, die in diesem Beitrag beschrieben wird, behebt genau denselben Code und korrigiert im Grunde einen Code, der 20 Jahre und 4 Monate alt ist. Wenn es einen solchen Wettbewerb gäbe, würden beide wahrscheinlich um den Preis für die längste Zeit, die eine Sicherheitslücke existiert, konkurrieren.

Das TuxCare-Team ist weiterhin bemüht, alle bekannten Sicherheitslücken in den Linux-Distributionen zu testen und zu beheben, die von unserem Extended Lifecycle Support abgedeckt werden. Mehr über diesen und unsere anderen TuxCare-Services erfahren Sie hier.