Mythos a găsit o vulnerabilitate în curl: când și prietenii vechi te pot dezamăgi

Dacă credeai că curl este tipul ăla stabil care nu te lasă niciodată la greu, Mythos tocmai ți-a amintit că și veteranii au schelete în dulap. Grupul de cercetare Mythos a descoperit o vulnerabilitate în curl care, după cum spun chiar autorii, permite unui atacator să facă lucruri urâte cu memoria.

Ce s-a întâmplat? Vulnerabilitatea (CVE încă nealocat) se află în procesarea unor tipuri speciale de URL-uri. Dacă curl primește o cerere formatată special, poate corupe memoria și executa cod arbitrar. Sună ca o marți tipică pentru cei care lucrează cu C, dar pentru curl este o raritate – proiectul este cunoscut pentru securitatea sa.

Cine e de vină și ce facem? Ca de obicei, patch-ul este deja gata și așteaptă să fie inclus în următoarea versiune. Dezvoltatorii curl au reacționat prompt – mulțumiri lui Mythos pentru dezvăluirea responsabilă. Până la actualizare, vă recomandăm să nu dați curl URL-uri suspecte, mai ales dacă îl folosiți în aplicații server. Da, este ca sfatul „nu băgați calculatorul în priză”, dar mai bine sigur decât rău.

Morala pentru dezvoltatori Chiar și cel mai testat instrument poate oferi surprize. Actualizați dependințele, urmăriți CVE-urile și nu uitați că securitatea este un proces, nu o bifă. Și da, dacă pipeline-ul vostru CI/CD folosește curl pentru a descărca artefacte, acum este momentul să verificați dacă nu e timpul pentru o actualizare.

Comentariul echipei METABYTE: Și noi iubim curl, dar de acum îl vom verifica pentru vulnerabilități mai des decât cafeaua pentru cofeină. Dacă aveți nevoie de ajutor cu auditul de securitate al proiectului vostru – știm unde să căutăm viermi.