Test de CVE-2021-22922 et CVE-2021-22923 / Support de cycle de vie étendu

Poursuivant notre tendance à tester tous les CVEs qui sortent et qui peuvent affecter les distributions Linux couvertes par notre support étendu du cycle de vie, l'équipe a travaillé sur les CVE-2021-22922 et CVE-2021-22923.

Ces vulnérabilités affectent curl, un logiciel qui existe depuis de nombreuses années, inclus en tant que composant dans plusieurs applications et distributions différentes, et qui est tout simplement un outil de transfert de données formidable et utile. Il prend en charge différents protocoles, mécanismes de cryptage et architectures, et cette polyvalence lui a même valu d'être utilisé en dehors de la planète Terre. Il fait partie de la pile logicielle d'un rover martien.

Cette publicité semble toutefois avoir également attiré l'attention des chercheurs en sécurité. Et nous sommes heureux qu'ils s'y soient intéressés, car de nouvelles vulnérabilités sont découvertes pour curl sur du code très ancien, utilisé depuis des décennies et supposé correct depuis tout ce temps. Cette semaine encore, une autre vulnérabilité a été divulguée, et elle était présente dans un code vieux de plus de 20 ans. Dans le monde de l'informatique, c'est comme trouver un dinosaure vivant qui erre dans les rues aujourd'hui.

En regardant CVE-2021-22922 et CVE-2021-22923, ils sont liés à une option incluse dans curl, "-metalink". Cette fonctionnalité permet à un serveur d'indiquer à un client (dans ce cas, curl) des emplacements alternatifs où trouver un élément de contenu donné. Par exemple, pour faciliter la distribution du contenu en pointant un client, de manière transparente, vers un miroir géographiquement plus proche de lui.

Il s'avère que, pour CVE-2021-22922, si un miroir pour un fichier donné était compromis et le contenu du fichier remplacé par autre chose, curl téléchargerait quand même le fichier altéré, même s'il ne correspondait plus au hachage du contenu présent dans la liste des liens métalliques. Par conséquent, cette faille peut conduire au téléchargement de contenu malveillant, sans que l'utilisateur s'en rende compte.

CVE-2021-22923 décrit une vulnérabilité autour de la façon dont les informations d'identification utilisées pour télécharger les informations metalink originales pourraient être envoyées par inadvertance et à tort au serveur miroir. Cela pourrait conduire à la divulgation non autorisée de ces informations d'identification.

Les deux vulnérabilités n'ont pas, à l'heure actuelle, de code d'exploitation public connu.

De plus, l'équipe TuxCare a déterminé que les versions de curl incluses dans les systèmes pris en charge dans le cadre de l'Extended Lifecycle Support ne sont PAS affectées par ces vulnérabilités, et ne nécessitent donc pas de correctifs pour y remédier spécifiquement. Le curl de EL6 n'a pas cette option, et dans Ubuntu elle est désactivée par défaut.

Si vous souhaitez en savoir plus sur l'Extended Lifecycle Support ou sur les autres services TuxCare, vous pouvez trouver plus d'informations ici.

L'équipe de TuxCare continue de tester toutes les vulnérabilités afin que vous n'ayez pas à le faire - en prenant soin de la sécurité de Linux pendant que vous vous concentrez sur les besoins de votre entreprise.