【威胁情报】curl&libcurl高危漏洞CVE-2023-38545

admin
admin
admin
140350
文章
117
评论
2023年10月14日00:13:47评论152 views字数 2380阅读7分56秒阅读模式

curl&libcurl高危漏洞CVE-2023-38545

10月11日,curl项目的作者bagder(Daniel Stenberg)在GitHub发布 8.4.0 版本,并公开同时影响命令行工具curl和依赖库libcurl的高危漏洞CVE-2023-38545。

【威胁情报】curl&libcurl高危漏洞CVE-2023-38545

curl/libcurl 还广泛应用于以下方面:


  • GitHub中有2.6万个相关的开源项目,其中php、shell、JavaScript、Python、C/C++项目中使用较多;


【威胁情报】curl&libcurl高危漏洞CVE-2023-38545

图2:curl/libcurl相关不同语言的开源代码仓库占比


  • 具有网络传输功能的客户端应用程序,如办公套件LibreOffice、火狐浏览器等;


  • 几乎所有的操作系统,如:Linux、Windows、macOS、iOS 和 Android等。



curl



curl -V 命令输出的 banner 信息可作为其特征:

$ curl -Vcurl 7.68.0 (x86_64-pc-linux-gnu) libcurl/7.68.0 OpenSSL/1.1.1f zlib/1.2.11 brotli/1.0.7 libidn2/2.3.0 libpsl/0.21.0 (+libidn2/2.2.0) libssh/0.9.3/openssl/zlib nghttp2/1.40.0 librtmp/2.3Release-Date: 2020-01-08


可以分别从进程和系统环境中排查:


  • 对于系统环境中的curl,可以通过 curl -V | egrep -o '^curl [678]+.[0-9]+.[0-9]+' 获取对应的版本


  • 对于进程中的curl,可以通过对文件进行识别,如strings curl | egrep -o '^curl [678]+.[0-9]+.[0-9]+'



libcurl


在libcurl中也存在相同的特征:


CLIENT libcurl 7.44.0-DEVlibcurl/7.44.0-DEV


libcurl通常以动态链接库的形式存在,如libcurl.so.4.8.0,应用依赖的libcurl ,可能存在于系统lib目录,如/usr/lib/,也可能被应用直接打包进应用目录。


因此排查需要考虑:


  • 对系统lib目录及应用目录中的文件分析,如strings libcurl.so | egrep -o 'libcurl[ -/]([678]+.[0-9]+.[0-9]+)'


  • 运行中的应用可以通过分析进程打开文件来判断,如sudo lsof | egrep -o '/.*.so.*' | xargs -I {} bash -c "strings {} | egrep -o 'libcurl[ -/]([678]+.[0-9]+.[0-9]+)'"


libcurl典型依赖分析


依赖了libcurl的rpm包

perl-WWW-Curlcertmongerqemu-kvm-madevtoolset-10-elfutilsgstreamer1-plugins-bad-freecephdotnetgit19-gitmariadb-connector-camandaipadotnet3.1aideqemu-kvmrh-mysql80-mysqlrng-toolsgeoipupdatexmlrpc-cthunderbirdsblim-sfcbrh-git227-gitpython-pycurlrusthttpd24-mod_securitygitrh-git29-gitlibgit2dotnet3.0systemdlibopenrawrpm-ostreegcc-toolset-11-elfutilsgcc-toolset-10-elfutilslibreofficefirefoxdovecotcurlgstreamer-plugins-bad-freelibvirtrh-git218-gitcreaterepo_chttpd24-curlelfutilsglusterfsdevtoolset-10-gdbrsyslogdotnet5.0ceph-commonlibcmisflatpak-builderlibquvirh-passenger40-passengercompat-exiv2-026sssdfwupdvorbis-toolslibrepostrongimcvruby193-rubygem-passenger40rh-nginx18-nginxtpm2-toolshttpd24-mod_md


maven中央仓库中直接包含libcurl的组件

org.danbrough.kotlinxtras:curlLinuxX64Binariesorg.danbrough.kotlinxtras:curlLinuxArm32HfpBinariesorg.danbrough.kotlinxtras:curlAndroidNativeX64Binariesio.dldb.sdk:dldb-lib-no-cpp-sharedio.dldb.sdk:dldb-liborg.danbrough.kotlinxtras:curlAndroidNativeArm32Binariesorg.danbrough.kotlinxtras:curlAndroidNativeX86Binariescom.amazon.alexa.aace:alexaorg.danbrough.kotlinxtras:curlLinuxArm64Binariescom.qiniu:qplayer2-coreorg.danbrough.kotlinxtras:curlAndroidNativeArm64Binaries



原文始发于微信公众号(利刃信安攻防实验室):【威胁情报】curl&libcurl高危漏洞CVE-2023-38545

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月14日00:13:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【威胁情报】curl&libcurl高危漏洞CVE-2023-38545https://cn-sec.com/archives/2102534.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息