I det stadigt udviklende landskab inden for cybersikkerhed er det altafgørende at være på forkant med sårbarheder og sikre sikkerheden af dine digitale aktiver. I denne uge annoncerede cURL-projektet under ledelse af Daniel Stenberg en forestående udgivelse, der skal adressere to sikkerhedssårbarheder – CVE-2023-38545 og CVE-2023-38546. I dette blogindlæg vil vi dykke ned i detaljerne om disse sårbarheder, hvad vi ved indtil videre, og hvad du kan gøre for at beskytte dine systemer.
Udgivelsen: cURL 8.4.0
Onsdag den 4. oktober 2023 afslørede Daniel Stenberg, en kernevedligeholder af cURL, den kommende udgivelse af cURL, version 8.4.0. Denne udgivelse er planlagt til at være tilgængelig den 11. oktober 2023 cirka kl. 06:00 UTC. Hovedformålet med denne udgivelse er at adressere de to ovennævnte sårbarheder. Der er ikke blevet afsløret specifikke detaljer om selve sårbarhederne, hvilket tilføjer et element af spænding til den kommende udgivelse.
Sårbarhedsoversigt
CVE-2023-38546
Den første sårbarhed, CVE-2023-38546, er klassificeret som værende af lav alvorlighed. Det er vigtigt at bemærke, at den udelukkende påvirker libcurl, som er et bibliotek, der giver udviklere adgang til cURL API'er fra deres kode. Hvis din organisation bruger libcurl, bør du holde øje med den kommende udgivelse og sørge for at installere opdateringen i overensstemmelse hermed.
CVE-2023-38545
Den anden sårbarhed, CVE-2023-38545, er af høj alvorlighed og har en mere udbredt effekt. Den påvirker både kommandolinjeværktøjet cURL og libcurl. Indtil videre er der ikke offentliggjort et specifikt versionsinterval, der definerer de berørte systemer. Den forestående udgivelse af cURL 8.4.0 den 11. oktober vil dog give en løsning på dette alvorlige problem.
Hvad vi ved om CVE-2023-38545
Trods manglen på detaljerede oplysninger er nogle nøglepunkter blevet bekræftet af officielle kilder vedrørende CVE-2023-38545:
Det er blevet beskrevet som "det værste sikkerhedsproblem, der er fundet i cURL i lang tid", hvilket øger risikoen for netop denne sårbarhed.
Selvom sårbarheden er alvorlig, vil ikke alle brugere af cURL blive påvirket. Vedligeholderne har bemærket, at en "stor del af brugerne" vil forblive upåvirket, muligvis på grund af specifikke angrebsforudsætninger.
Sårbarheden er klassificeret som "Høj" af cURL-projektet, selvom det ikke er værd at bemærke, at de teoretisk set støtter betegnelsen af sårbarheder som "Kritiske", hvilket ikke er sket indtil videre.
Det er vigtigt at bemærke, at denne sårbarhed ikke vil resultere i nogen API- eller ABI-ændringer i den kommende cURL-udgivelse.
Hvad skulle du gøre?
I lyset af disse sårbarheder er der flere skridt, du kan tage for at beskytte dine systemer:
1. Identificer cURL-instanser
For at sikre omfattende dækning under dine opdateringsindsatser er det afgørende at identificere alle forekomster af cURL i din organisation. Dette kan opnås ved at vedligeholde en Software Bill of Materials (SBOM). En SBOM er et vigtigt værktøj til at overvåge softwarekomponenter og deres respektive versioner, hvilket hjælper dig med at identificere områder, der kræver opdateringer.
2. Forbered dig på cURL 8.4.0-udgivelsen
cURL 8.4.0 er planlagt til at blive udgivet den 11. oktober 2023 og vil indeholde de nødvendige rettelser til disse sårbarheder. Vær forberedt på at opdatere dine systemer hurtigt til den nye, rette version for at mindske potentielle risici.
3. Brug sikkerhedsværktøjer
JFrog Security Essentials (Xray) og JFrog Advanced Security er værdifulde værktøjer, der kan hjælpe med at identificere alle forekomster af cURL på tværs af hele din kodebase. Disse værktøjer kan hjælpe med at spore cURL i forskellige former, herunder Docker-containere, repository-pakker og separate binære filer.
Virkning af cURL-sårbarhed i RELIANOID
RELIANOID Open Source-belastningsbalancering løsning, tilgængelig i både Community- og Enterprise-udgaver, forbliver upåvirket af CVE-2023-38545 og CVE-2023-38546 sårbarheder, fordi vi konsekvent bruger de nyeste officielle pakker fra sikkerhedslagre. For at opretholde sikkerheden af din RELIANOID Load Balancer, er det vigtigt at sikre, at den opdateres regelmæssigt ved hjælp af vores officielle repositories. Det er muligt at verificere de versioner, der ikke er sårbare, ved at udføre kommandoen nedenfor i load balancer (for versionerne CE v5 og EE v6.2).
root@noid-ee-01:~# dpkg -l | grep curl ii curl 7.64.0-4 + deb10u6 amd64 kommandolinjeværktøj til overførsel af data med URL-syntaks ii libcurl3-gnutls:amd64 7.64.0-4 + deb10u6 amd64 brugervenligt URL-overførselsbibliotek på klientsiden (GnuTLS-udgave) ii libcurl4:amd64 7.64.0-4 + deb10u6 amd64 brugervenligt URL-overførselsbibliotek på klientsiden (OpenSSL-version)
Mere opdaterede versioner af sådanne pakker er også sikre.
Kort sagt er den kommende udgivelse af cURL 8.4.0 en afgørende milepæl i håndteringen af sårbarhederne CVE-2023-38545 og CVE-2023-38546. Vær årvågen, forbered dig på udgivelsen, og brug de tilgængelige sikkerhedsværktøjer til at beskytte dine systemer. Efterhånden som flere oplysninger bliver tilgængelige, vil vi løbende opdatere dette blogindlæg for at give dig den seneste indsigt og vejledning til at beskytte dine digitale aktiver i et stadigt skiftende cybersikkerhedslandskab.
Få og nyd den nyeste version vores Load Balancer-software.
Vi opfordrer dig til at Nyd webstedets pålidelighedsoplevelse!
Relaterede blogs
