В утилите curl устранили уязвимость, грозящую исполнением стороннего кода

Татьяна Никитина 12 Октября 2023 - 16:27

...

В утилите curl устранили уязвимость, грозящую исполнением стороннего кода

В инструменте командной строки curl и лежащей в его основе библиотеке libcurl были обнаружены две уязвимости; одна из них, высокой степени опасности, просуществовала незамеченной 1315 дней. Патчи уже доступны в составе сборки 8.4.0.

Уязвимость CVE-2023-38545 (7,5 балла CVSS) связана с ошибкой переполнения буфера в куче, проявляется при согласовании соединения через прокси SOCKS5 (такой доступ должен быть включен) и потенциально позволяет удаленно выполнить любой код в системе.

Дело в том, что хэндшейк в данном случае может происходить с передачей имени хоста прокси-серверу для резолвинга. Если имя превышает 255 байт, curl-клиент сам его резолвит и отсылает только результат. Как оказалось, при типовых задержках на сервере curl из-за бага пытался скопировать в буфер не IP-адрес, а длинное имя хоста.

Эксплойт, согласно бюллетеню, не требует проведения DoS-атаки либо захвата контроля над сервером SOCKS. Переполнение буфера можно спровоцировать с помощью HTTPS-сервера, выполняющего редирект на специально созданный URL (при условии, что в настройках libcurl разрешено перенаправление запросов).

Выявивший уязвимость исследователь получил $4660 в рамках программы Internet Bug Bounty на HackerOne. По словам автора проекта curl Даниеля Cтенберга (Daniel Stenberg), это самая большая награда из тех, что когда-либо присуждали за баги широко используемой утилиты.

Проблема актуальна для curl 8.x (при использовании опции --limit-rate со значением менее 65541) и libcurl версий с 7.69.0 по 8.3.0 включительно, а также для всех приложений, построенных на основе данной библиотеки. Тем не менее при дефолтных настройках эксплойт даже в этих случаях невозможен.

Уязвимость CVE-2023-38546 (ровно 5 баллов CVSS) в libcurl позволяет при определенных условиях внедрить в запущенную программу куки по выбору. Эксплойт актуален для выпусков с 7.9.1 по 8.3.0 библиотеки.

Оба патча вышли 11 октября в составе сборки 8.4.0. Примечательно, что curl после обновления перестанет переключаться в режим локального резолвинга; если имя хоста слишком длинное, он выдаст ошибку.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Яков Шпунт 22 Января 2026 - 11:41

Инсайдеры Малый и средний бизнес Корпорации Системы защиты данных от потери Системы резервного копирования и восстановление данных Парольная защита (пароли) Кросс Технолоджис

С инцидентами по вине сотрудников сталкивалось больше половины компаний

По данным статистики, собранной компанией «Кросс технолоджис» за 2025 год, с инцидентами в сфере информационной безопасности по вине сотрудников столкнулись 52% российских компаний. Чаще всего проблемы были связаны с нарушением парольной политики — на них пришлось около 80% таких инцидентов, а также с несоблюдением правил резервного копирования (примерно 60%).

При этом, как отмечают аналитики, к нарушениям парольных политик чаще других склонны сотрудники ИТ- и ИБ-подразделений. В ряде случаев они выводят собственные учетные записи из-под действия установленных правил, что создаёт для организаций существенные риски.

Среди проблем, связанных с резервным копированием, наиболее распространены нерегулярное выполнение бэкапов, неполнота резервируемых данных и отсутствие должного уровня их защиты. Руководитель отдела анализа защищенности и киберразведки департамента оценки защищенности «Кросс технолоджис» Василий Коровицын привёл пример того, к чему могут привести подобные нарушения.

Так, в ходе ИБ-аудита в одной из компаний на файловом сервере была обнаружена резервная копия в открытом доступе. Она содержала, в том числе, образ контроллера домена с учетными записями всех пользователей, включая привилегированные. При этом файл находился там несколько месяцев. По оценке Василия Коровицына, подобная ситуация возможна только при грубейшем нарушении регламентов резервного копирования либо при их полном отсутствии.

В «Кросс технолоджис» также подчёркивают, что причиной нарушений политик безопасности нередко становится не халатность сотрудников, а чрезмерная сложность и неудобство самих правил, а также их противоречие реальным бизнес-процессам. В результате сотрудники начинают искать способы обойти мешающие регламенты, чтобы не снижать эффективность своей работы.

«Нарушение политик безопасности — серьёзная проблема. Чтобы её избежать, необходимо формировать правила таким образом, чтобы они не противоречили логике бизнес-процессов. Вторая важная составляющая — повышение осведомлённости сотрудников в вопросах информационной безопасности через тренинги и киберучения, что помогает лучше понять необходимость соблюдения установленных требований. Регулярная оценка защищенности позволяет выявить уязвимости, возникающие из-за нарушения правил, и сформировать дорожную карту по их устранению», — прокомментировала результаты исследования Анастасия Мельникова, руководитель департамента оценки защищенности «Кросс технолоджис».

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »