ClickCease Testen aller Schwachstellen, damit Sie es nicht tun müssen |tuxcare.com

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

TuxCare - Prüfung aller Schwachstellen, damit Sie es nicht tun müssen

26. Mai 2021. TuxCare PR Team

Im Rahmen von TuxCare stellen wir sicher, dass alle neuen Sicherheitslücken analysiert und für alle von uns unterstützten Distributionen und Produkte getestet werden. Heute wurden zwei neue Schwachstellen bekannt, die den curl/libcurl-Code betreffen. Da dies etwas ist, das wir mit unserem Extended Lifecycle Support abdecken, haben wir unsere Tests auf diese Bibliothek angewendet.

Wir haben zahlreiche Tests durchgeführt und festgestellt, dass keines der von uns unterstützten End-of-Life-Linux-Systeme von diesen Schwachstellen betroffen ist. Sie können also sicher sein, dass Sie nicht von diesen Schwachstellen betroffen sind, wenn Sie Centos 6, Oracle Linux 6, CloudLinux 6 oder Ubuntu 16 verwenden, da diese von unserem Service abgedeckt sind.

Libcurl, und damit auch curl, die Userland-Software, die die libcurl-Funktionalität implementiert, ist ein Dateiübertragungswerkzeug, das mehrere Protokolle unterstützt. Es wird oft mit Software von Drittanbietern gebündelt, auch wenn diese Präsenz nicht offengelegt wird. Es ist so allgegenwärtig, dass es sogar außerhalb des Planeten eingesetzt wird, und zwar in einem Rover auf dem Mars, wo es Teil des Datenübertragungsprozesses ist, um Bilder zurück zur Erde zu senden. Auf einer tieferen Ebene wird es von den Endnutzern jedes Mal unwissentlich verwendet, wenn sie eine Webseite in einem Browser oder eine E-Mail in ihrem bevorzugten E-Mail-Programm öffnen.

Die beiden soeben bekannt gewordenen Schwachstellen CVE-2021-22898 und CVE-2021-22901 betreffen libcurl auf unterschiedliche Weise. Die erste wurde, was nicht mehr überraschend ist, in einem 20 Jahre alten Code entdeckt, der am 22. März 2001 durch eine Codeänderung eingeführt wurde. Die zweite wurde erst kürzlich, im Februar 2021, eingeführt.

Bei genauerer Betrachtung von CVE-2021-22898 handelt es sich um einen Fehler in der Art und Weise, wie libcurl die Variable "CURLOPT_TELNETOPTIONS" parst, die von curl als "-t"-Befehl offengelegt wird. Dieser Fehler könnte ausgenutzt werden, um eine Datenexfiltration durch speziell gestaltete Parameter bei der Verbindung mit einem Telnet-Server zu ermöglichen.

Ein einfaches Beispiel für eine Befehlszeile sieht wie folgt aus:

 

     curl telnet://example.com -tNEW_ENV=a,bbbbbb (256 'b's)

Derzeit gibt es keine Hinweise auf die Existenz eines öffentlichen Exploit-Codes. Da Telnet-Server heutzutage relativ selten sind, wäre es außerdem ziemlich schwierig, sie in freier Wildbahn auszunutzen.

CVE-2021-22901 betrifft libcurl (und damit auch curl), wenn es mit OpenSSL-Unterstützung kompiliert wird (oder mit einem seiner Forks, wie boringssl oder libressl). Es handelt sich um eine Schwachstelle in der Art und Weise, wie libcurl eine Verbindung zu einem Zeitpunkt wiederverwendet, zu dem sie theoretisch bereits entsorgt werden könnte, was zu einer Schwachstelle führt, die gemeinhin als "User After Free" bezeichnet wird.

Es muss eine ganz bestimmte Abfolge von Ereignissen in genau der richtigen Reihenfolge eintreten, damit dies ausgelöst wird, und überraschenderweise ist nicht der Server die gefährdete Partei, sondern der Client, der durch einen böswilligen Server kompromittiert werden kann.

Der Exploit könnte in einer Situation auftreten, in der libcurl die Sitzungs-ID zwischenspeichert, sie für mehrere Anfragen wiederverwendet und die Verbindung zwischen den Anfragen freigibt.

Es wurde festgestellt, dass beide Schwachstellen nicht den curl/libcurl-Code betreffen, der derzeit für unsere Extended Lifecycle-Abonnenten bereitgestellt wird. Wie bei allen Schwachstellen wird TuxCare weiterhin Tests und Sicherheits-Know-how bereitstellen, um die Sicherheit Ihrer Systeme zu gewährleisten.

Weitere Informationen über die Risiken einer nicht unterstützten End-of-Life-Linux-Distribution finden Sie hier.

 Wenn Sie noch kein Abonnent unserer Produkte sind, ist dies eine gute Gelegenheit, mit unseren Technikern zu sprechen und herauszufinden, wie TuxCare Ihre Systemadministrationsaufgaben übernehmen und Ihre Sicherheitspraktiken verbessern kann. Erfahren Sie hier mehr über unsere Dienstleistungen.

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter