ClickCease Une vulnérabilité vieille de 20 ans dans libcurl divulguée publiquement CVE-2021-22876 - TuxCare

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Une vulnérabilité vieille de 20 ans dans libcurl divulguée publiquement CVE-2021-22876

1er avril 2021 - L'équipe de relations publiques de TuxCare

Une vulnérabilité vieille de 20 ans dans libcurl a été rendue publique sous le nom de CVE-2021-22876.À quel moment une ancienne vulnérabilité passe-t-elle du statut de bogue à celui de fonctionnalité ? C'est la question qui traverse probablement l'esprit de nombreux développeurs de logiciels qui utilisent libcurl dans le cadre de leurs applications, car un bug a été découvert dans le code engagé en août 2000 à la base de code libcurl.

La vulnérabilité divulguée permet à un serveur web spécialement configuré d'avoir accès à des informations d'identification saisies dans un autre serveur web, par le biais d'un comportement inapproprié de libcurl.

Selon les informations disponibles, cela affecte curl/libcurl 7.1.1 jusqu'à 7.75.0 inclus. La version 7.76.0+ inclut la correction.

Cette vulnérabilité affecte curl/libcurl tel que distribué dans Centos 6, Ubuntu 16.04 et Oracle EL6 (d'autres distributions plus anciennes ont probablement aussi les versions affectées). Le support du fournisseur d'origine a fourni des correctifs pour Ubuntu, et par le biais de notre service Extended Lifecycle Support, nous fournirons des correctifs pour CentOS 6 à partir d'aujourd'hui. D'autres systèmes pris en charge par notre service de support étendu du cycle de vie recevront également des correctifs sous peu si les fournisseurs d'origine ne le font pas.

Succinctement, libcurl est une bibliothèque qui contient des fonctions couramment utilisées pour accéder à des sites web, effectuer des requêtes http et transférer des données. Elle est utilisée implicitement dans "curl", le vénérable outil fourni avec la plupart des distributions Linux, ainsi que dans de très nombreux autres outils et applications tierces, parfois même sans attribution appropriée. Vous l'utilisez probablement sous une forme ou une autre dans les navigateurs Web, les outils de transfert de fichiers ou les programmes de courrier électronique les plus courants.

 

Le comportement affecté peut être décrit comme suit :

  • Un utilisateur effectue une requête web sur un site qui requiert une authentification.
  • L'utilisateur saisit les informations d'identification normalement
  • Le serveur Web redirige ensuite la demande vers un serveur secondaire qui fournit effectivement le contenu demandé.
  • À ce stade, le serveur secondaire reçoit les informations d'identification dans un en-tête envoyé par libcurl qui ne devrait pas les contenir, car le second serveur n'a pas le droit de voir ces informations.

 

Notez que cela peut se produire, et se produit, de manière transparente pour l'utilisateur final après la demande initiale d'informations d'identification par une application. CVE-2021-22876 contient des informations détaillées sur ce problème.

 

De plus, comme ce comportement est présent dans la bibliothèque depuis si longtemps, il y a probablement des environnements d'hébergement web et des applications qui dépendent de ce comportement pour leur bon fonctionnement. Les équipes informatiques doivent effectuer tout test de conformité approprié pour leur environnement d'hébergement web afin de valider le comportement correct de leurs serveurs sans recevoir cet en-tête avec les informations d'identification dans leurs serveurs secondaires.

Avertissement : Indépendamment de la date, ceci n'est -pas- une blague du 1er avril. Il y a vraiment une faille vieille de 20 ans dans libcurl.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information