Des correctifs ont été publiés pour deux failles de sécurité affectant la bibliothèque de transfert de données Curl, dont la plus grave pourrait potentiellement entraîner l’exécution de code.
La liste des vulnérabilités est la suivante –
- CVE-2023-38545 (score CVSS : 7,5) – Vulnérabilité de dépassement de tampon basée sur le tas SOCKS5
- CVE-2023-38546 (score CVSS : 5,0) – Injection de cookies sans aucun fichier
CVE-2023-38545 est le plus grave des deux et a été décrit par le développeur principal du projet, Daniel Stenberg, comme « probablement la pire faille de sécurité de Curl depuis longtemps ». Cela affecte les versions 7.69.0 de libcurl jusqu’à 8.3.0 incluses.
« Cette faille fait que Curl overflow est un tampon basé sur le tas dans le CHAUSSETTES5 poignée de main du proxy », ont déclaré les responsables dans un avis. « Lorsqu’il est demandé à Curl de transmettre le nom d’hôte au proxy SOCKS5 pour lui permettre de résoudre l’adresse au lieu que cela soit fait par Curl lui-même, la longueur maximale que peut avoir le nom d’hôte est de 255. octets. »
« Si le nom d’hôte est détecté comme étant plus long que 255 octets, Curl passe à la résolution de nom local et transmet l’adresse résolue uniquement au proxy. En raison d’un bug, la variable locale qui signifie « laisser l’hôte résoudre le nom » pourrait obtenez la mauvaise valeur lors d’une poignée de main SOCKS5 lente et, contrairement à l’intention, copiez le nom d’hôte trop long dans le tampon cible au lieu d’y copier uniquement l’adresse résolue.
Curl a déclaré que la vulnérabilité pourrait probablement être exploitée sans qu’il soit nécessaire de recourir à une attaque par déni de service et qu’un débordement pourrait être déclenché par un serveur HTTPS malveillant effectuant une redirection vers une URL spécialement conçue.
« Etant donné que Curl est un projet omniprésent, on peut supposer avec certitude que cette vulnérabilité sera exploitée dans la nature pour l’exécution de code à distance, avec des exploits plus sophistiqués en cours de développement », JFrog dit. « Cependant, l’ensemble des conditions préalables nécessaires pour qu’une machine soit vulnérable est plus restrictif qu’on ne le pensait initialement. »
« Un exploit valide nécessiterait qu’un attaquant déclenche l’exécution de code, par exemple en transmettant un nom d’hôte à une application Web qui déclencherait l’exécution de code dans Curl », Johannes B. Ullrich, doyen de la recherche au SANS Technology Institute, dit. « Ensuite, l’exploit n’existe que si Curl est utilisé pour se connecter à un proxy SOCKS5. Il s’agit d’une autre dépendance, rendant l’exploitation moins probable. »
La deuxième vulnérabilité, qui affecte les versions 7.9.1 à 8.3.0 de libcurl, permet à un acteur malveillant d’insérer des cookies à volonté dans un programme en cours d’exécution utilisant libcurl dans des circonstances spécifiques.
Des correctifs pour les deux failles sont disponibles dans la version 8.4.0 publiée le 11 octobre 2023. Plus précisément, la mise à jour garantit que Curl ne passe plus en mode de résolution locale si un nom d’hôte est trop long, atténuant ainsi le risque de dépassement de tampon basé sur le tas.
« Cette famille de failles aurait été impossible si Curl avait été écrit dans un langage sécurisé au lieu du C, mais le portage de Curl dans un autre langage n’est pas à l’ordre du jour », déclare Stenberg. ajoutée.