{"id":278250,"date":"2023-02-25T00:04:00","date_gmt":"2023-02-24T23:04:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278250"},"modified":"2024-04-08T20:07:00","modified_gmt":"2024-04-08T18:07:00","slug":"windows-microsoft-liefert-curl-bibliothek-weiterhin-mit-schwachstellen-aus-feb-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/02\/25\/windows-microsoft-liefert-curl-bibliothek-weiterhin-mit-schwachstellen-aus-feb-2023\/","title":{"rendered":"Windows: Microsoft liefert cURL-Bibliothek weiterhin mit Schwachstellen aus (Feb. 2023)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Es ist eine unsch\u00f6ne Geschichte, die ich erneut hier im Blog einstelle. Microsoft gelingt es nicht, cURL mit Windows so auszuliefern, dass die Software auf dem aktuellen Stand ist und keine bekannte Sicherheitsl\u00fccken mehr aufweist. Ich hatte das Thema bereits im Januar 2022 im Blog aufgegriffen – ge\u00e4ndert hat sich aber nichts, wie ich aus einer Nachricht von Stefan Kanthak entnehmen konnte. Hier ein kurzer Abriss, um was es geht.<\/p>\n

<\/p>\n

Was ist cURL?<\/h2>\n

\"\"cURL<\/a> (steht f\u00fcr Client for URLs oder Curl URL Request Library) ist einerseits eine Programmbibliothek und gleichzeitig ein Kommandozeilen-Programm zum \u00dcbertragen von Dateien in Rechnernetzen. cURL steht unter der offenen MIT-Lizenz und wurde auf verschiedene Betriebssysteme portiert.<\/p>\n

cURL in Windows 10\/11 veraltet<\/h2>\n

Microsoft liefert cURL seit 2017 mit Windows 10 (und auch in Windows 11) mit, wie man in diesen Artikel<\/a> auf der cURL-Webseite, sowie dem Blog-Beitrag Tar and Curl Come to Windows<\/a> von Microsoft, der letztmalig am 26. April 2022 aktualisiert wurde, lesen kann. Ich hatte es im Dezember 2017 im Blog-Beitrag Windows 10: tar und curl sollen kommen<\/a> angesprochen. Auf der cURL-Webseite hei\u00dft es dazu:<\/p>\n

All installs of Microsoft Windows 10 and Windows 11 get curl installed by default since then. The initial curl version Microsoft shipped was 7.55.1 but it was upgraded to 7.79.1 in January 2022.<\/p>\n

The Microsoft provided version is built to use the Schannel TLS backend. […]<\/p>\n

The curl tool shipped with Windows is built by and handled by Microsoft. It is a separate build that will have different features and capabilities enabled and disabled compared to the Windows builds<\/a> offered by the curl project. They do however build curl from the same source code. If you have problems with their curl version, report that to them.<\/p>\n

You can probably assume that the curl packages from Microsoft will always lag behind the versions provided by the curl project itself.<\/p><\/blockquote>\n

cURL for Windows ist laut der cURL-Webseite<\/a> am 20. Februar 2023 auf die Version 7.88.1 worden. Frage ich die cURL-Version unter einem Windows 10 mit aktuellem Patchstand ab, erhalte ich diese Anzeige:<\/p>\n

<\/p>\n

In Windows 10 22H2 mit Patchstand Februar 2023 wird ein cURL 7.83.1 mit einem Release-Datum 13. Mai 2022 gemeldet. Die h\u00e4ngen 9 Monate hinter dem offiziellen Release des cURL-Projekts hinterher. Befrage ich das Internet nach \"cURL 7.83.1 vulnerabilities\", liefert mir Google den Link auf die offizielle cURL-Seite<\/a>, wo es hei\u00dft:<\/p>\n

curl version 7.83.1<\/b> was released on May 11 2022<\/b>. The following 13<\/b> security problems are known to exist in this version.<\/p><\/blockquote>\n

Macht irgendwie schon Laune, zu erfahren, wie Microsoft so agiert. Oben hui, unten pfui, wei\u00df der Volksmund – die nehmen auf ihren Webseiten das Maul mit zig Sicherheitsfeatures (Secure Boot, TPM, Exploit Schutz, Phishing Schutz etc.) voll, rotzen aber hinten rum Uralt-Bibliotheken mit bekannten Sicherheitsl\u00fccken auf die Systeme der Anwender. Bei Produkten mit dem Electron-Framework wie Teams ist das genau so – da wurde auch flei\u00dfig eine uralte Version des Chromium Browsers mit bekannten Schwachstellen ausgeliefert.<\/p>\n

Erg\u00e4nzung:<\/em> Curl soll sich laut einem Kommentar auf Facebook mit folgendem Befehl aktualisieren lassen: winget install curl.curl<\/em><\/p>\n

Microsoft wei\u00df das<\/h2>\n

Man k\u00f6nnte noch argumentieren, dass da \"mal was \u00fcbersehen\" wurde. Aber das Ganze hat Methode, die Entwickler in Redmond wissen das und tun nichts. Im Januar 2022 hatte ich, nach einem Hinweis von Stefan Kanthak schon mal dieses Thema im Blog-Beitrag Windows Januar 2022-Sicherheitsupdates f\u00fcr cURL-Schwachstelle CVE-2021-22947 \u2013 ein z\u00e4hes Unterfangen<\/a> angesprochen. Kanthak hatte mir die Kommunikation mit Microsoft zur Verf\u00fcgung gestellt, in der er auf Sicherheitsl\u00fccken in cURL hinwies.<\/p>\n

Die Tage hat Stefan Kanthak mir erneut eine E-Mail zukommen lassen, die obige Schlamperei bez\u00fcglich der Aktualisierung von cURL in Windows 10 und Windows 11 aufgreift. Hier der Text, ohne weitere Kommentierung meinerseits:<\/p>\n

\n
Hallo Guenter,\r\n\r\nbeim CC: habe ich dummerweise (D)eine falsche Mail-Adresse angegeben.\r\n\r\nMagst Du ueber deren fortlaufende Schlamperei und Unfaehigkeit, die\r\neigenen Produktionssysteme mit aktuellen Quelltexten zu bestuecken,\r\nschreiben?\r\n\r\nmfg\r\nStefan\r\n\r\n----- Original Message -----\r\nFrom: \"Stefan Kanthak\" <****>\r\nTo: \"Microsoft Security Response Center\" <secure@microsoft.com>; <certbund@bsi.bund.de>; <cert@cert.org>\r\nCc: <gborn@***>; <daniel@****>\r\nSent: Monday, February 06, 2023 7:56 PM\r\nSubject: TEN unfixed CVEs in the OUTDATED version of curl.exe that Microsoft dares to ship with Windows!\r\n\r\n\u00a0\r\n\r\n> Hi @ll,\r\n>\r\n> Microsoft again\/still ships a ROTTEN and VULNERABLE version of curl.exe\r\n> which is 4 releases behind and has TEN unfixed CVEs with Windows 10 and 11!\r\n>\r\n> Why do you ignore your own mantra \"Keep your systems up-to-date and patched\"?\r\n>\r\n> @MSRC: last time it took more than FIVE months, from 2021-07-21 until\r\n>\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 January 2022, to ship a version then \"just\" 2 releases behind.\r\n>\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 See MSRC Case 66388 CRM:0461283373\r\n>\r\n> @CERT Bund: wie waer's mit einer oeffentlichen Warnung vor diesem\r\n>\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 schlampig, fahr- und nachlaessig zusammengefrickelten Kram?\r\n>\r\n> @Daniel: please change your license to forbid the distribution of vulnerable\r\n>\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 binaries built from outdated sources!\r\n>\r\n> C:\\Users\\Stefan>ver\r\n>\r\n> Microsoft Windows [Version 10.0.19044.2486]\r\n>\r\n> C:\\Users\\Stefan>curl --version\r\n> curl 7.83.1 (Windows) libcurl\/7.83.1 Schannel\r\n> Release-Date: 2022-05-13\r\n> Protocols: dict file ftp ftps http https imap imaps pop3 pop3s smtp smtps telnet tftp\r\n> Features: AsynchDNS HSTS IPv6 Kerberos Largefile NTLM SPNEGO SSL SSPI UnixSockets\r\n>\r\n> From <https:\/\/curl.se\/docs\/security.html<\/a>>\r\n>\r\n> #\u00a0\u00a0\u00a0 S\u00a0 Vulnerability\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Date\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 First\u00a0\u00a0 Last\r\n> 132\u00a0 ?\u00a0 CVE-2022-43552: HTTP Proxy deny use-after-free\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 2022-12-21\u00a0 7.16.0\u00a0 7.86.0\r\n> 131\u00a0 ?\u00a0 CVE-2022-43551: Another HSTS bypass via IDN\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 2022-12-21\u00a0 7.77.0\u00a0 7.86.0\r\n> 130\u00a0 ?\u00a0 CVE-2022-42916: HSTS bypass via IDN\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 2022-10-26\u00a0 7.77.0\u00a0 7.85.0\r\n> 129\u00a0 ?\u00a0 CVE-2022-42915: HTTP proxy double-free\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 2022-10-26\u00a0 7.77.0\u00a0 7.85.0\r\n> 128\u00a0 ?\u00a0 CVE-2022-35260: .netrc parser out-of-bounds access\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 2022-10-26\u00a0 7.84.0\u00a0 7.85.0\r\n> 127\u00a0 ?\u00a0 CVE-2022-32221: POST following PUT confusion\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 2022-10-26\u00a0 7.7\u00a0\u00a0\u00a0\u00a0 7.85.0\r\n> 126\u00a0 ?\u00a0 CVE-2022-35252: control code in cookie denial of service\u00a0 2022-08-31\u00a0 4.9\u00a0\u00a0\u00a0\u00a0 7.84.0\r\n> 125\u00a0 ?\u00a0 CVE-2022-32208: FTP-KRB bad message verification\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 2022-06-27\u00a0 7.16.4\u00a0 7.83.1\r\n> 124\u00a0 ?\u00a0 CVE-2022-32207: Unpreserved file permissions\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 2022-06-27\u00a0 7.69.0\u00a0 7.83.1\r\n> 123\u00a0 ?\u00a0 CVE-2022-32206: HTTP compression denial of service\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 2022-06-27\u00a0 7.57.0\u00a0 7.83.1\r\n> 122\u00a0 ?\u00a0 CVE-2022-32205: Set-Cookie denial of service\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 2022-06-27\u00a0 7.71.0\u00a0 7.83.1\r\n>\r\n> NOT AMUSED\r\n> Stefan Kanthak\r\n>\r\n> ----- Original Message -----\r\n> From: \"Stefan Kanthak\" <stefan.kanthak@***>\r\n> To: \"Microsoft Security Response Center\" <secure@microsoft.com>\r\n> Cc: <daniel@***>; <cert@cert.org>\r\n> Sent: Wednesday, July 21, 2021 8:35 PM\r\n> Subject: OUTDATED curl.exe 7.55.1\r\n>\r\n>> Hi secure,\r\n>>\r\n>> Windows 10 20H1, 20H2 and 21H1 ship with an outdated and vulnerable\r\n>> curl.exe 7.55.1, 32 releases and at least 15 (in words: FIFTEEN) CVEs\r\n>> behind the current version 7.78.0: see\r\n>> <https:\/\/curl.se\/docs\/releases.html> and\r\n>> <https:\/\/curl.se\/docs\/vulnerabilities.html>\r\n>>\r\n>> | C:\\Users\\Public>winver\r\n>> | Microsoft Windows [Version 10.0.19042.1083]\r\n>> |\r\n>> | C:\\Users\\Public>curl -V\r\n>> | curl 7.55.1 (Windows) libcurl\/7.55.1 WinSSL\r\n>> | Release-Date: 2017-11-14, security patched: 2019-11-05\r\n>> | Protocols: dict file ftp ftps http https imap imaps pop3 pop3s smtp smtps telnet tftp\r\n>> | Features: AsynchDNS IPv6 Largefile SSPI Kerberos SPNEGO NTLM SSL\r\n>>\r\n>> Are your processes so bad that you can't build a current version and\r\n>> have to ship ROTTEN software instead?\r\n>>\r\n>> NOT amused\r\n>> Stefan Kanthak<\/code><\/pre>\n<\/blockquote>\n
\u00c4hnliche Artikel:
\n<\/strong>Windows Januar 2022-Sicherheitsupdates f\u00fcr cURL-Schwachstelle CVE-2021-22947 \u2013 ein z\u00e4hes Unterfangen<\/a>
\nMicrosoft Teams und die Sicherheit \u2026<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Es ist eine unsch\u00f6ne Geschichte, die ich erneut hier im Blog einstelle. Microsoft gelingt es nicht, cURL mit Windows so auszuliefern, dass die Software auf dem aktuellen Stand ist und keine bekannte Sicherheitsl\u00fccken mehr aufweist. Ich hatte das Thema bereits … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7862,301,3694],"tags":[4328,3836,4378,8257],"class_list":["post-278250","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-stoerung","category-windows","category-windows-10","tag-sicherheit","tag-software","tag-windows-10","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278250","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278250"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278250\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278250"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278250"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278250"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}