{"id":286933,"date":"2023-10-14T00:05:00","date_gmt":"2023-10-13T22:05:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=286933"},"modified":"2024-04-08T20:07:01","modified_gmt":"2024-04-08T18:07:01","slug":"curl-schwachstelle-durch-microsoft-ungepatcht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/10\/14\/curl-schwachstelle-durch-microsoft-ungepatcht\/","title":{"rendered":"curl-Schwachstelle durch Microsoft ungepatcht"},"content":{"rendered":"

\"Sicherheit[English]In der Bibliothek und im Tool curl gibt es in \u00e4lteren Versionen eine Schwachstelle, die vom Projekt am 11. Oktober 2023 mit der Version 8.4.0 geschlossen wurde. Microsoft liefert curl mit Windows aus, und es stellte sich die Frage, ob curl zum Patchday, 10. Oktober 2023, ebenfalls aktualisiert wurde. Mein Stand ist, dass in Windows auch nach den Oktober 2023-Updates die veraltete curl-Version enthalten ist.<\/p>\n

<\/p>\n

Was ist cURL?<\/h2>\n

\"\"cURL<\/a> (steht f\u00fcr Client for URLs oder Curl URL Request Library) ist einerseits eine Programmbibliothek und gleichzeitig ein Kommandozeilen-Programm zum \u00dcbertragen von Dateien in Rechnernetzen. cURL steht unter der offenen MIT-Lizenz und wurde auf verschiedene Betriebssysteme portiert.<\/p>\n

curl in Windows 10\/11<\/h2>\n

Microsoft liefert cURL seit 2017 mit Windows 10 (und auch in Windows 11) mit, wie man in diesen Artikel<\/a> auf der cURL-Webseite, sowie dem Blog-Beitrag Tar and Curl Come to Windows<\/a> von Microsoft, der letztmalig am 17. M\u00e4rz 2023 aktualisiert wurde, lesen kann. Ich hatte es im Dezember 2017 im Blog-Beitrag Windows 10: tar und curl sollen kommen<\/a> angesprochen. Auf der cURL-Webseite hei\u00dft es dazu:<\/p>\n

All installs of Microsoft Windows 10 and Windows 11 get curl installed by default since then. The initial curl version Microsoft shipped was 7.55.1 but it was upgraded to 7.79.1 in January 2022.<\/p>\n

The Microsoft provided version is built to use the Schannel TLS backend. [\u2026]<\/p>\n

The curl tool shipped with Windows is built by and handled by Microsoft. It is a separate build that will have different features and capabilities enabled and disabled compared to the Windows builds<\/a> offered by the curl project. They do however build curl from the same source code. If you have problems with their curl version, report that to them.<\/p>\n

You can probably assume that the curl packages from Microsoft will always lag behind the versions provided by the curl project itself.<\/p><\/blockquote>\n

cURL for Windows ist laut der cURL-Webseite<\/a> am 11. Oktober 2023 auf die Version 8.0.4 aktualisiert worden. Frage ich die cURL-Version unter einem Windows 10 mit aktuellem Patchstand ab, erhalte ich diese Anzeige:<\/p>\n

<\/p>\n

In Windows 10 22H2 mit Patchstand Oktober 2023 wird die Version 8.0.1 angezeigt, w\u00e4hrend eigentlich die Version 8.0.4 erforderlich w\u00e4re. Stefan Kanthak hat hier<\/a> darauf hingewiesen.<\/p>\n

Die Schwachstelle<\/h2>\n

Daniel Stenberg hatte Anfang Oktober 2023 eine Vorwarnung ver\u00f6ffentlicht<\/a>, in der er von einer Sicherheitsl\u00fccke schrieb, die mit Version 8.0.4 beseitigt werden sollte. Inzwischen gibt es die Ver\u00f6ffentlichung CVE-2023-38545 & CVE-2023-38546 Curl and libcurl Vulnerabilities: All you need to know<\/a>, die mehr Informationen zu den Schwachstellen offen legt (Bleeping Computer hat hier<\/a> drauf hingewiesen). Eine dieser Schwachstellen wird als wenig schwerwiegend eingestuft (CVE-2023-38546), w\u00e4hrend die zweite als hochgradig schwerwiegend gilt (CVE-2023-38545).<\/p>\n