[English]In der Bibliothek und im Tool curl gibt es in älteren Versionen eine Schwachstelle, die vom Projekt am 11. Oktober 2023 mit der Version 8.4.0 geschlossen wurde. Microsoft liefert curl mit Windows aus, und es stellte sich die Frage, ob curl zum Patchday, 10. Oktober 2023, ebenfalls aktualisiert wurde. Mein Stand ist, dass in Windows auch nach den Oktober 2023-Updates die veraltete curl-Version enthalten ist.
Anzeige
Was ist cURL?
cURL (steht für Client for URLs oder Curl URL Request Library) ist einerseits eine Programmbibliothek und gleichzeitig ein Kommandozeilen-Programm zum Übertragen von Dateien in Rechnernetzen. cURL steht unter der offenen MIT-Lizenz und wurde auf verschiedene Betriebssysteme portiert.
curl in Windows 10/11
Microsoft liefert cURL seit 2017 mit Windows 10 (und auch in Windows 11) mit, wie man in diesen Artikel auf der cURL-Webseite, sowie dem Blog-Beitrag Tar and Curl Come to Windows von Microsoft, der letztmalig am 17. März 2023 aktualisiert wurde, lesen kann. Ich hatte es im Dezember 2017 im Blog-Beitrag Windows 10: tar und curl sollen kommen angesprochen. Auf der cURL-Webseite heißt es dazu:
All installs of Microsoft Windows 10 and Windows 11 get curl installed by default since then. The initial curl version Microsoft shipped was 7.55.1 but it was upgraded to 7.79.1 in January 2022.
The Microsoft provided version is built to use the Schannel TLS backend. […]
The curl tool shipped with Windows is built by and handled by Microsoft. It is a separate build that will have different features and capabilities enabled and disabled compared to the Windows builds offered by the curl project. They do however build curl from the same source code. If you have problems with their curl version, report that to them.
You can probably assume that the curl packages from Microsoft will always lag behind the versions provided by the curl project itself.
cURL for Windows ist laut der cURL-Webseite am 11. Oktober 2023 auf die Version 8.0.4 aktualisiert worden. Frage ich die cURL-Version unter einem Windows 10 mit aktuellem Patchstand ab, erhalte ich diese Anzeige:
Anzeige
In Windows 10 22H2 mit Patchstand Oktober 2023 wird die Version 8.0.1 angezeigt, während eigentlich die Version 8.0.4 erforderlich wäre. Stefan Kanthak hat hier darauf hingewiesen.
Die Schwachstelle
Daniel Stenberg hatte Anfang Oktober 2023 eine Vorwarnung veröffentlicht, in der er von einer Sicherheitslücke schrieb, die mit Version 8.0.4 beseitigt werden sollte. Inzwischen gibt es die Veröffentlichung CVE-2023-38545 & CVE-2023-38546 Curl and libcurl Vulnerabilities: All you need to know, die mehr Informationen zu den Schwachstellen offen legt (Bleeping Computer hat hier drauf hingewiesen). Eine dieser Schwachstellen wird als wenig schwerwiegend eingestuft (CVE-2023-38546), während die zweite als hochgradig schwerwiegend gilt (CVE-2023-38545).
- CVE-2023-38545 ist eine schwerwiegende Sicherheitslücke, die sowohl das Befehlszeilentool Curl als auch libcurl betrifft. Betroffene Versionen sind Curl und libcurl von 7.69.0 bis einschließlich 8.3.0.
- CVE-2023-38546 ist eine Sicherheitslücke mit geringem Schweregrad, die nur li die Bibliothek libcurl betrifft. Betroffen sind libcurl Versionen von 7.9.1 bis einschließlich 8.3.0.
CVE-2023-38545 ist ein Heap-Überlauf-Schwachstelle, die möglicherweise für die Remote-Code-Ausführung (RCE) ausgenutzt werden kann. Die Schwachstelle CVE-2023-38545 kann laut obigem Artikel unter Standardbedingungen nicht ausgenutzt werden. Die libcurl-Bibliothek ist nur verwundbar, wenn sie auf eine der im obigen Artikel beschriebenen Arten verwendet wird.
Zusammengefasst: Noch ist die curl-Schwachstelle nicht am Brennen. Aber es ist Mist, dass Microsoft da nicht reagiert, und einen Patch für die obigen Schwachstellen durch die aktuelle curl-Version beseitigt hat.
Ähnliche Artikel:
Windows: Microsoft liefert cURL-Bibliothek weiterhin mit Schwachstellen aus (Feb. 2023)
Windows und die cURL-Falle; gelöschte Curl-Instanz macht Windows-Update kaputt
Windows: cURL 8.4.0 Update kommt zum 14. November 2023-Patchday
Anzeige
1.
mehrfacher Zahlendreher:
Ist: 8.0.4
Soll: 8.4.0
2.
Der Fix ist erst mit Version 8.4.0 enthalten.
Wenn also Windows eine kleinere Version anzeigt (8.0.1 oder 8.0.4), dann ist der Fix nicht enthalten.
3.
"Noch ist die curl-Schwachstelle nicht am Brennen."
Warum nicht?
Die Lücke ist doch offen und wenn jemand eine URL länger als 255 Zeichen irgendwohin legt, die mit cURL abgefragt wird und direkt dahinter einen schädlichen Code, dann wird der Code dank des Pufferüberlaufs in cURL bzw in SOCKS lokal ausgeführt.
Welche "irgendwo hingelegte URL" wird denn in Windows mit cURL abgefragt?
Und wenn Ratelimiting zutrifft. Die Details stehen im Artikel von dem curl-Maintainer. Es erfordert also noch etwas mehr an Voraussetzungen
Kann man entsprechende dll oder was auch immer nicht selber austauschen?
Wäre nicht schlecht gewesen, wenn entsprechende Dateien benannt worden wären.
Oh, ich sah gerade, auf der Page gibt für Windows einen patch!
Somit hat sich das erledigt.
Wenn man Systemdateien selber austauscht, dann "repariert" Windows das wieder und ersetzt es durch die neueste, aber ältere Version aus den installierten Updates.
Wenn der Windows-Dienst Ressourcenschutz bzw Systemdateischutz läuft oder wenn man manuell in der Konsole die Systemdateiprüfung (SFC scannow) ausführt, dann werden die manuell ersetzten Dateien wieder durch die Windows-eigenen ausgetauscht, die Lücke also wieder eingebaut.
Microsoft muss also schon selber den FIX in die eigenen Updates einbauen.
Abschalten, Austauschen, Eigenschaften ändern "Schreibgeschützt, wieder einschalten.
Sollte doch gehen, oder?
Blond & blauäugig?
Oder einfach nur völlig ahnungslos?
%SystemRoot%\system32\curl.exe ist (wie fast alle Systemdateien) ein Hardlink der aktuellen (per Update-Paket) unter %SystemRoot%\WinSxS\\curl.exe installierten Version dieser Datei.
Wer dort fummelt zerstört die Integrität des "Repositories" und verhindert recht zuverlässig die Installation des nächsten Update-Pakets — den entsprechenden Blog-Post von Günter findest Du selbst?!
Weder Blond noch blauäugig!
Aber was das Thema angeht völlig ahnungslos!
Das, was Du mir da gerade zu erklären versuchst, verstehe ich nicht so ganz, habe aber verstanden, dass, wenn es denn irgendwie doch geht,
man dann mehr oder weniger sein System zerschossen hat.
Also besser die Finger davon lassen.
Danke.
curl.exe in Applocker sperren und Ruhe ist. Das Tool braucht der Durchschnittsbenutzer sowieso nicht.
Die Idee ist ja nicht schlecht, nur Applocker ist leider nur in den Enterprise-Editionen von Windows enthalten.
Was macht denn der Durchschnittsbenutzer mit seiner Home, Pro oder was weiß ich Version?
Applocker ist zumindest seit einem Jahr auch in der Pro Version freigeschaltet.
Seit ich von SRP auf Applocker umgestellt habe, sind einige Probleme verschwunden.
Rein aus Neugier, was hattest Du für Probleme mit SRP? Weil ich bin auch sehr an Sicherheit interessiert, und Applocker geht nicht, aber Safer ja bei jeder Edition.
Also dem Unwillen oder der Unfähigkeit von MS wieder hinterherfrickeln…
Wer hatte kürzlich noch groß getönt, dass das ein Linux und kein MS Problem sei, 1ST1? Die Linux-Distributionen waren übrigens fix und haben schnell die Fixes geliefert.
Gutes Patchmanagement – so wichtig! Kennen MS und Fanboys sowas überhaupt?
Ja, haben wir regelmäßig planbar 1x im Monat, nicht alle 5 Minuten weil ein Paketmaintainer beschließt, mal was freizugeben.
Und selbst einmal im Monat bringt mehr Drama als die schnellen Fixes unter Linux.
Erster Lehrsatz des TQM: Qualität ist, was der Kunde dafür hält. MS Fanboys sind ein gutes Beispiel dafür ;-)
Die Version sagt nicht immer etwas über den Patch Stand aus.. bei vielen Open Source Projekten werden Fixes rückportiert .
Microsoft äußert sich schon seit Jahren nicht mehr zu konkreten Sicherheitsproblemen.
Wie soll das denn auch gehen, wenn erst 1 Tag danach die Details bekannt werden und die ersten Patches veröffentlicht werden?
Ist halt ein blödes Timing gewesen.
Die Diskussion hatten wir schon mal im Vorfeld. Es ist klar: Anfang Oktober 2023 wird die Schwachstelle bekannt. Am 11.10.2023 kommt der Patch – den hat der Entwickler Sternberg zwischen Frühstück und Mittagessen entwickelt und dann rausgegeben. Da kann Microsoft "nichts machen" … finde den Fehler …
AUTSCH: am 11.10.2023 wurde der Quelltext der Version 8.4.0 für die ALLGEMEINHEIT freigegeben; "Hersteller" (genauer: deren Sicherheitsteams, bei M$FT das MSRC) diverser Betrübssysteme und (Linux-)Distributionen konnten den Quelltext bzw. Patches spätestens ab der Vorankündigung, d.h. ab 3.10.2023, erhalten.
Wurde im November seitens MS gepacht.