ClickCease Prüfung von CVE-2021-22922 und CVE-2021-22923 | tuxcare.com

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Testen von CVE-2021-22922 und CVE-2021-22923 / Erweiterte Lebenszyklusunterstützung

26. Juli 2021. TuxCare PR Team

In Fortführung unseres Trends, alle CVEs zu testen, die herauskommen und die Linux-Distributionen betreffen könnten, die von unserem Extended Lifecycle Support abgedeckt werden, hat sich das Team an die Arbeit gemacht und CVE-2021-22922 und CVE-2021-22923 getestet.

Diese Schwachstellen betreffen curl, eine Software, die es seit vielen Jahren gibt, die als Komponente in vielen verschiedenen Anwendungen und Distributionen enthalten ist und die einfach ein großartiges und nützliches Datenübertragungswerkzeug ist. Sie unterstützt verschiedene Protokolle, Verschlüsselungsmechanismen und Architekturen, und diese Vielseitigkeit hat ihr sogar den Ruf eingebracht, auch außerhalb des Planeten Erde eingesetzt zu werden. Es ist Teil des Software-Stacks in einem Mars-Rover.

Diese Öffentlichkeitsarbeit scheint jedoch auch die Aufmerksamkeit von Sicherheitsforschern auf sich gezogen zu haben. Und wir sind froh, dass sie sich damit befasst haben, denn es werden immer wieder neue Schwachstellen für curl in sehr altem Code entdeckt, der seit Jahrzehnten in Gebrauch ist und die ganze Zeit über als korrekt galt. Erst diese Woche wurde eine weitere Schwachstelle bekannt, und zwar in einem Code, der über 20 Jahre alt ist. In der IT-Welt ist das so, als würde man einen lebenden Dinosaurier finden, der heute durch die Straßen streift.

CVE-2021-22922 und CVE-2021-22923 stehen im Zusammenhang mit einer in curl enthaltenen Option, "-metalink". Mit dieser Funktion kann ein Server einen Client (in diesem Fall curl) über alternative Orte informieren, an denen er einen bestimmten Inhalt finden kann. So kann beispielsweise die Verteilung von Inhalten erleichtert werden, indem ein Client auf transparente Weise auf einen Spiegelserver verwiesen wird, der geografisch näher an ihm liegt.

Es stellte sich heraus, dass für CVE-2021-22922, wenn ein Mirror für eine bestimmte Datei kompromittiert wurde und der Inhalt der Datei durch etwas anderes ersetzt wurde, curl immer noch die manipulierte Datei herunterladen würde, auch wenn sie nicht mehr mit dem Hash für den Inhalt übereinstimmt, der in der Metalink-Liste vorhanden ist. Daher könnte dieser Fehler dazu führen, dass bösartige Inhalte heruntergeladen werden, ohne dass der Benutzer davon etwas mitbekommt.

CVE-2021-22923 beschreibt eine Schwachstelle, bei der die zum Herunterladen der ursprünglichen Metalink-Informationen verwendeten Anmeldeinformationen versehentlich und fälschlicherweise an den Mirror-Server gesendet werden könnten. Dies könnte zur unbefugten Offenlegung dieser Anmeldeinformationen führen.

Für beide Sicherheitslücken gibt es derzeit keinen öffentlichen Exploit-Code.

Darüber hinaus hat das TuxCare-Team festgestellt, dass die curl-Versionen, die in den unterstützten Systemen im Rahmen des Extended Lifecycle Supports enthalten sind, NICHT von diesen Schwachstellen betroffen sind und daher keine Patches benötigen, um sie speziell zu beheben. EL6's curl hat diese Option nicht, und in Ubuntu ist sie standardmäßig deaktiviert.

Wenn Sie mehr über den Extended Lifecycle Support oder andere Dienstleistungen von TuxCare wissen möchten, finden Sie hier weitere Informationen.

Das TuxCare-Team testet weiterhin alle Schwachstellen, damit Sie das nicht tun müssen - es kümmert sich um die Sicherheit von Linux, während Sie sich auf die Anforderungen Ihres Unternehmens konzentrieren.

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter