[English]In der Bibliothek und im Tool cURL gibt es in älteren Versionen eine Schwachstelle, die vom Projekt am 11. Oktober 2023 mit der Version 8.4.0 geschlossen wurde. Microsoft liefert cURL mit Windows aus, hat diese Version bisher aber nicht aktualisiert. Mein Stand ist, dass in Windows auch nach den Oktober 2023-Updates die veraltete cURL-Version enthalten ist. Nun liegt mir die Information vor, dass Microsoft zum 14. November 2023 cURL 8.4.0 mit den Windows-Updates ausliefern will.
Anzeige
Was ist cURL?
cURL (steht für Client for URLs oder Curl URL Request Library) ist einerseits eine Programmbibliothek und gleichzeitig ein Kommandozeilen-Programm zum Übertragen von Dateien in Rechnernetzen. cURL steht unter der offenen MIT-Lizenz und wurde auf verschiedene Betriebssysteme portiert.
Die Schwachstelle CVE-2023-38545
In älteren Version von cURL gibt es Schwachstellen. Daniel Stenberg hatte Anfang Oktober 2023 eine Vorwarnung veröffentlicht, in der er von einer Sicherheitslücke schrieb, die mit Version 8.0.4 beseitigt werden sollte. Inzwischen gibt es die Veröffentlichung CVE-2023-38545 & CVE-2023-38546 Curl and libcurl Vulnerabilities: All you need to know, die mehr Informationen zu den Schwachstellen offen legt (Bleeping Computer hat hier drauf hingewiesen). Eine dieser Schwachstellen wird als wenig schwerwiegend eingestuft (CVE-2023-38546), während die zweite als hochgradig schwerwiegend gilt (CVE-2023-38545).
- CVE-2023-38545 ist eine schwerwiegende Sicherheitslücke, die sowohl das Befehlszeilentool cURL als auch libcurl betrifft. Betroffene Versionen sind Curl und libcurl von 7.69.0 bis einschließlich 8.3.0.
- CVE-2023-38546 ist eine Sicherheitslücke mit geringem Schweregrad, die nur die Bibliothek libcurl betrifft. Betroffen sind libcurl Versionen von 7.9.1 bis einschließlich 8.3.0.
CVE-2023-38545 ist eine Heap-Überlauf-Schwachstelle, die möglicherweise für die Remote-Code-Ausführung (RCE) ausgenutzt werden kann. Die Schwachstelle CVE-2023-38545 kann laut obigem Artikel unter Standardbedingungen nicht ausgenutzt werden. Die libcurl-Bibliothek ist nur verwundbar, wenn sie auf eine der im obigen Artikel beschriebenen Arten verwendet wird. Zusammengefasst: Noch ist die cURL-Schwachstelle nicht am Brennen.
curl in Windows 10/11
Microsoft liefert cURL seit 2017 mit Windows 10 (und auch in Windows 11) mit, wie man in diesen Artikel auf der cURL-Webseite, sowie dem Blog-Beitrag Tar and Curl Come to Windows von Microsoft, der letztmalig am 17. März 2023 aktualisiert wurde, lesen kann. Ich hatte es im Dezember 2017 im Blog-Beitrag Windows 10: tar und curl sollen kommen angesprochen. Auf der cURL-Webseite heißt es dazu:
Anzeige
All installs of Microsoft Windows 10 and Windows 11 get curl installed by default since then. The initial curl version Microsoft shipped was 7.55.1 but it was upgraded to 7.79.1 in January 2022.
The Microsoft provided version is built to use the Schannel TLS backend. […]
The curl tool shipped with Windows is built by and handled by Microsoft. It is a separate build that will have different features and capabilities enabled and disabled compared to the Windows builds offered by the curl project. They do however build curl from the same source code. If you have problems with their curl version, report that to them.
You can probably assume that the curl packages from Microsoft will always lag behind the versions provided by the curl project itself.
cURL for Windows ist laut der cURL-Webseite am 11. Oktober 2023 auf die Version 8.4.0 aktualisiert worden. Frage ich die cURL-Version unter einem Windows 10 mit aktuellem Patchstand mit dem Konsolenbefehl curl -V ab, erhalte ich diese Anzeige:
In Windows 10 mit Patchstand Oktober 2023 wird z.B. die Version 8.0.1 angezeigt, während eigentlich die Version 8.4.0 erforderlich wäre.
cURL 8.4.0-Update am 14. November 2023
Das fehlende cURL-Update ist auch anderen Leuten aufgefallen. Im Microsoft Q&A-Beitrag Patch for cURL 8.4.0 CVE-2023-38545 ETA? hatte jemand zum 27. Oktober 2023 gefragt, wann denn mit einem Update von cURL zu rechnen wäre. Nun hat mich Blog-Leser Marco auf BlueSky darüber informiert, dass cURL 8.4.0 in den 2023-1 LCUs enthalten sei (danke dafür). Nachfolgend der Screenshot der betreffenden Benachrichtigung.
abboddi86 hat in einem Post vom 12. November angegeben, dass mit den folgenden kumulativen Updates auch das cURL-Paket auf 8.4.0 aktualisiert wird.
- KB5032196: Win10 1809
- KB5032189: Win10 22H2
- KB5032198: Server 2022
- KB5032192: Win11 21H2
- KB5032190: Win11 22H2/23H2
- KB5032202: Server 23H2
Ähnliche Artikel:
Windows: Microsoft liefert cURL-Bibliothek weiterhin mit Schwachstellen aus (Feb. 2023)
Windows und die cURL-Falle; gelöschte Curl-Instanz macht Windows-Update kaputt
Anzeige
Siehe auch https://seclists.org/fulldisclosure/2023/Oct/17
M$FT hat das mit Windows gelieferte CURL.exe letztmalig im April 2023 aktualisiert (auf die damals aktuelle 8.0.1 vom 20.3.2023), d.h. diese Spezial-Eksperten^Wunendlich schlampenden Frickler hinken schon wieder 7 (in Worten: SIEBEN) Monate und Versionen hinterher, und ignorieren ihr eigenes Mantra "Keep your systems up-to-date" in allergrosszügigster^Wschamlosester Weise.
EINMAL mit Profis arbeiten.
Einmal mit Profis arbeiten war früher.
Heute reicht schon einmal ohne Idioten. :)