curl&libcurl高危漏洞CVE-2023-38545
10月11日,curl项目的作者bagder(Daniel Stenberg)在GitHub发布 8.4.0 版本,并公开同时影响命令行工具curl和依赖库libcurl的高危漏洞CVE-2023-38545。
curl/libcurl 还广泛应用于以下方面:
-
GitHub中有2.6万个相关的开源项目,其中php、shell、JavaScript、Python、C/C++项目中使用较多;
图2:curl/libcurl相关不同语言的开源代码仓库占比
-
具有网络传输功能的客户端应用程序,如办公套件LibreOffice、火狐浏览器等;
-
几乎所有的操作系统,如:Linux、Windows、macOS、iOS 和 Android等。
curl
curl -V 命令输出的 banner 信息可作为其特征:
$ curl -Vcurl 7.68.0 (x86_64-pc-linux-gnu) libcurl/7.68.0 OpenSSL/1.1.1f zlib/1.2.11 brotli/1.0.7 libidn2/2.3.0 libpsl/0.21.0 (+libidn2/2.2.0) libssh/0.9.3/openssl/zlib nghttp2/1.40.0 librtmp/2.3Release-Date: 2020-01-08
可以分别从进程和系统环境中排查:
-
对于系统环境中的curl,可以通过 curl -V | egrep -o '^curl [678]+.[0-9]+.[0-9]+' 获取对应的版本
-
对于进程中的curl,可以通过对文件进行识别,如strings curl | egrep -o '^curl [678]+.[0-9]+.[0-9]+'
libcurl
在libcurl中也存在相同的特征:
CLIENT libcurl 7.44.0-DEVlibcurl/7.44.0-DEV
libcurl通常以动态链接库的形式存在,如libcurl.so.4.8.0,应用依赖的libcurl ,可能存在于系统lib目录,如/usr/lib/,也可能被应用直接打包进应用目录。
因此排查需要考虑:
-
对系统lib目录及应用目录中的文件分析,如strings libcurl.so | egrep -o 'libcurl[ -/]([678]+.[0-9]+.[0-9]+)'
-
运行中的应用可以通过分析进程打开文件来判断,如sudo lsof | egrep -o '/.*.so.*' | xargs -I {} bash -c "strings {} | egrep -o 'libcurl[ -/]([678]+.[0-9]+.[0-9]+)'"
libcurl典型依赖分析
依赖了libcurl的rpm包
perl-WWW-Curlcertmongerqemu-kvm-madevtoolset-10-elfutilsgstreamer1-plugins-bad-freecephdotnetgit19-gitmariadb-connector-camandaipadotnet3.1aideqemu-kvmrh-mysql80-mysqlrng-toolsgeoipupdatexmlrpc-cthunderbirdsblim-sfcbrh-git227-gitpython-pycurlrusthttpd24-mod_securitygitrh-git29-gitlibgit2dotnet3.0systemdlibopenrawrpm-ostreegcc-toolset-11-elfutilsgcc-toolset-10-elfutilslibreofficefirefoxdovecotcurlgstreamer-plugins-bad-freelibvirtrh-git218-gitcreaterepo_chttpd24-curlelfutilsglusterfsdevtoolset-10-gdbrsyslogdotnet5.0ceph-commonlibcmisflatpak-builderlibquvirh-passenger40-passengercompat-exiv2-026sssdfwupdvorbis-toolslibrepostrongimcvruby193-rubygem-passenger40rh-nginx18-nginxtpm2-toolshttpd24-mod_md
maven中央仓库中直接包含libcurl的组件
org.danbrough.kotlinxtras:curlLinuxX64Binariesorg.danbrough.kotlinxtras:curlLinuxArm32HfpBinariesorg.danbrough.kotlinxtras:curlAndroidNativeX64Binariesio.dldb.sdk:dldb-lib-no-cpp-sharedio.dldb.sdk:dldb-liborg.danbrough.kotlinxtras:curlAndroidNativeArm32Binariesorg.danbrough.kotlinxtras:curlAndroidNativeX86Binariescom.amazon.alexa.aace:alexaorg.danbrough.kotlinxtras:curlLinuxArm64Binariescom.qiniu:qplayer2-coreorg.danbrough.kotlinxtras:curlAndroidNativeArm64Binaries
原文始发于微信公众号(利刃信安攻防实验室):【威胁情报】curl&libcurl高危漏洞CVE-2023-38545
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论