Curl Autor varuje před falešně hlášenými chybami zabezpečení 

falešné zprávy

Účel hlášení zranitelností, které již byly opraveny před lety, je stále neznámý

Daniel Stenberg, curl autor, varoval uživatele, prostřednictvím příspěvku na blogu, o zprávě organizací MITER, as falešná kritická zranitelnost.

Zpráva podrobnosti o zranitelnosti, které bylo přiřazeno CVE-ID "CVE-2020-19909"a úroveň závažnosti 9,8 z 10, která je typická pro vzdáleně zneužitá zranitelnosti, která vedou ke zvýšenému spouštění kódu.

Ve zprávě o zranitelnosti chyba je uvedena v kódu analýzy volby příkazového řádku „–retry-delay“, který byl opraven v roce 2019 a způsobil přetečení celého čísla. Vzhledem k tomu, že se chyba projeví pouze tehdy, když je explicitně předána nesprávná hodnota při spuštění nástroje z příkazového řádku a vede k nesprávné interpretaci prodlevy před opětovným odesláním dat, vývojáři tuto chybu neklasifikovali jako chybu zabezpečení.

Toto je příběh, který se skládá z několika malých stavebních bloků, které se odehrávaly roztroušeně v čase a na různých místech. Je to příběh, který jasně ukazuje, jak je náš současný systém s ID CVE a velkým výkonem daným NVD zcela rozbitým systémem.

Daniel Stenberg zmiňuje tento problém přichází o tři roky později když někdo odeslal zprávu o zranitelnosti do MITER a přiřadil problému kritickou úroveň závažnosti.

Takže ve vašem příspěvku, kritizuje MITRE, protože to říká jak je možné, že tato organizace „by mohla přijmout uvedenou úroveň závažnosti“, protože i kdyby šlo o zneužitelnou zranitelnost, problémy s odmítnutím služby obecně spadají do jiné kategorie.

My v projektu curl tvrdě a tvrdě pracujeme na zabezpečení a vždy spolupracujeme s bezpečnostními výzkumníky, kteří hlásí problémy. Představujeme naše vlastní CVE, dokumentujeme je a ujišťujeme se, že o nich říkáme světu. Uvedli jsme více než 140 z nich se všemi myslitelnými podrobnostmi o nich. Naším cílem je poskytnout dokumentaci na úrovni zlata ke všemu, a to včetně našich minulých bezpečnostních chyb.

Že někdo jiný najednou poslal CVE pro curl, je překvapení. To nám nebylo řečeno a opravdu bychom si to přáli. Nyní se objevil nový CVE, který hlásí problém se zvlněním a na webu o něm nemáme žádné podrobnosti. Špatný.

Je pozoruhodné, že vývojáři curl se obrátili na MITER s žádostí o zrušení zprávy CVE, ale zástupci MITER se jednoduše odhlásili a odmítli odstranit CVE a označili to pouze za kontroverzní ("SPOROVANÝ").

Kromě toho je zmíněno, že „kontroverzní zprávy“ jsou zasílány anonymně prostřednictvím služby hlášení zranitelností „NVD“ a jako takové až dosud není znám důvod zveřejnění tohoto typu „falešných zranitelností“.

Mnoho z těch, kteří se vyjádřili v příspěvku autora Curl se zdá, že se dostali do určitého bodu, jak to zmiňují pravděpodobně se někdo rozhodl prokázat nedostatek řádného auditu po obdržení hlášení o zranitelnosti možnost používat CVE jako mechanismus k diskreditaci projektů nebo upozorňování na opravu potenciálně nebezpečných problémů v kódu bez analýzy jejich dopadu na zabezpečení.

A je to tím, že i Jonathan White z týmu KeePassXC, pod svou přezdívkou „droidmonkey“, učinil komentář, ve kterém odkazuje na skutečnost, že podobným problémem si prošel i tým KeePassXC, což utvrzuje myšlenku, že nejvíce It je pravděpodobné, že někdo připravil zprávy na základě studie opravených chyb, které by mohly potenciálně vést ke zranitelnostem, ale u kterých vývojáři hlavních projektů uznali, že neovlivňují bezpečnost (například mohlo dojít k přetečení vyrovnávací paměti, ale projevilo se pouze při zpracování interní data, která uživatel nemůže ovlivnit).

konečně jestli jsi zájem se o tom dozvědět více, můžete zkontrolovat podrobnosti v následující odkaz.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.