Le bogue de Curl, vieux de 20 ans, résiste - de retour pour un autre correctif - CVE-2021-22925

Il y a quelques semaines, CVE-2021-22898 a été publié. Elle affecte curl/libcurl à partir de la version 7.7, datant du 22 mars 2001. Il s'agissait d'une faille dans la façon dont une option rarement utilisée, CURLOPT_TELNETOPTIONS, était analysée, ce qui pouvait conduire à l'exfiltration de données. À l'époque, un correctif a été produit et soumis à la base de code curl/libcurl, et le problème a été réglé. Jusqu'à ce que CVE-2021-22925 apparaisse le 21 juillet. Apparemment, le correctif initial de la vulnérabilité précédente ne traitait pas correctement le problème, et un nouveau correctif a donc été produit.

Ce problème affecte la version 7.7 de curl jusqu'à 7.77.0, ce qui correspond à peu près à toutes les versions de curl incluses par défaut dans la plupart des distributions Linux au cours des 20 dernières années, à l'exception des versions de distribution les plus récentes qui fournissent curl 7.78.0 (ou plus).

L'équipe Extended Lifecycle Support de TuxCare a préparé et commencé à mettre à disposition le nouveau patch pour toutes les distributions concernées, à savoir CloudLinux 6, CentOS 6, OracleLinux 6 et Ubuntu 16.04.

Le correctif de la vulnérabilité précédente corrigeait une situation dans laquelle CURLOPT_TELNETOPTIONS pouvait être utilisé de manière abusive pour transmettre des données non souhaitées à l'extérieur du serveur. Cependant, il manquait une deuxième situation où cela pouvait également se produire et était donc incomplet.

Le nouveau correctif résout les deux situations en appelant correctement sscanf() lors du traitement des chaînes fournies par les applications appelantes avant d'envoyer les données à l'autre extrémité de la connexion.

À l'heure actuelle, aucun exploit n'est connu pour cette faille, et l'option est très rarement utilisée. Mais d'un autre côté, curl et libcurl sont utilisés par de nombreuses applications qui n'annoncent pas toujours explicitement leur utilisation. Ainsi, vous ne devriez pas simplement supposer qu'il est possible d'ignorer cette vulnérabilité si vous n'utilisez pas directement cette option, car une autre application sur le système pourrait le faire dans certaines tâches d'arrière-plan.

Curieusement, la vulnérabilité originale, CVE-2021-22898, qui corrigeait le même problème dans exactement le même code, corrigeait un code qui avait, au moment de sa divulgation, 20 ans et 2 mois. Le problème actuel décrit dans cet article, parce qu'il corrige, encore une fois, exactement le même code, corrige, à toutes fins utiles, du code vieux de 20 ans et 4 mois. S'il y avait un tel concours, ils seraient probablement tous deux en compétition pour le prix de "la plus longue durée d'existence d'une vulnérabilité".

L'équipe TuxCare s'engage à tester et à corriger toutes les vulnérabilités connues sur les distributions Linux couvertes par notre service de support étendu du cycle de vie. Vous pouvez en savoir plus sur ce service et sur nos autres services TuxCare ici.