Autori i Curl paralajmëron për dobësitë e raportuara të rreme 

lajme të rreme

Qëllimi i raportimit të dobësive që ishin rregulluar tashmë vite më parë është ende i panjohur

Daniel Stenberg, kaçurrela Autor, paralajmëroi përdoruesit, përmes një postimi në blog, rreth një raporti nga organizata MITER, e a cenueshmëri kritike e rreme.

Raporti detaje rreth një cenueshmërie të cilës i është caktuar CVE-ID "CVE-2020-19909"dhe një nivel ashpërsie prej 9,8 nga 10, që është tipike për dobësitë e shfrytëzuara nga distanca që çojnë në ekzekutim të lartë të kodit.

Në raportin e cenueshmërisë një gabim referohet në kodin analizues të opsionit të linjës së komandës “–provo-vonesa”, e cila u rregullua në 2019 dhe shkaktoi një tejkalim të numrit të plotë. Meqenëse defekti shfaqet vetëm kur një vlerë e pasaktë kalohet në mënyrë eksplicite gjatë ekzekutimit të programit nga linja e komandës dhe çon në një interpretim të gabuar të vonesës përpara se të dhënat të dërgohen përsëri, defekti nuk është klasifikuar si dobësi nga zhvilluesit.

Kjo është një histori që përbëhet nga disa blloqe të vogla ndërtimi dhe ato kanë ndodhur të shpërndara në kohë dhe në vende të ndryshme. Është një histori që tregon qartë se si sistemi ynë aktual me ID CVE dhe shumë fuqi që i është dhënë NVD-së është një sistem krejtësisht i prishur.

Daniel Stenberg, përmend se problemi vjen tre vjet më vonë kur dikush dorëzoi një raport cenueshmërie në MITER dhe i caktoi çështjes një nivel kritik të ashpërsisë.

Pra, në postimin tuaj, kritikon MITRE-n, pasi thotë se si është e mundur që kjo organizatë "mund të pranojë shkallën e ashpërsisë së treguar", sepse edhe nëse do të ishte një cenueshmëri e shfrytëzueshme, çështjet e mohimit të shërbimit në përgjithësi bien në një kategori tjetër.

Ne në projektin curl punojmë ashpër dhe fort për sigurinë dhe gjithmonë punojmë me studiues të sigurisë që raportojnë çështje. Ne prezantojmë CVE-të tona, i dokumentojmë ato dhe sigurohemi që t'i tregojmë botës për to. Ne renditëm mbi 140 prej tyre me çdo detaj të mundshëm rreth tyre të ofruar. Qëllimi ynë është të ofrojmë dokumentacion të nivelit të artë për gjithçka dhe kjo përfshin dobësitë tona të sigurisë së kaluar.

Që dikush tjetër papritmas paraqiti një CVE për curl është një surprizë. Kjo nuk na është thënë dhe do të na pëlqente shumë. Tani ekziston një CVE e re që raporton një problem të kaçurrelave dhe ne nuk kemi detaje për të thënë në lidhje me të në faqen e internetit. Jo mirë.

Vlen të përmendet se zhvilluesit e curl iu drejtuan MITER me një kërkesë për të anuluar raportin CVE, por përfaqësuesit e MITER-it thjesht u çregjistruan, refuzuan të heqin CVE dhe e shënuan vetëm si të diskutueshme ("E DISKUTUESHME").

Përveç kësaj, përmendet se “raportet e diskutueshme” dërgohen në mënyrë anonime përmes shërbimit të raportimit të cenueshmërisë “NVD” dhe si të tilla deri më tani nuk dihet arsyeja e publikimit të këtij lloji të “vulnerabiliteteve false”.

Shumë nga ata që komentuan në postimin e autorit të Curl, duket se kanë arritur në një pikë të caktuar, pasi e përmendin atë ndoshta dikush ka vendosur të provojë mungesën e një auditimi të duhur me marrjen e raporteve të dobësive, aftësia për të përdorur CVE si një mekanizëm për të diskredituar projektet ose për të tërhequr vëmendjen për rregullimin e çështjeve potencialisht të rrezikshme në kod pa analizuar ndikimin e tyre në siguri.

Dhe është se edhe Jonathan White, nga ekipi i KeePassXC, me pseudonimin e tij "droidmonkey", bëri një koment në të cilin i referohet faktit se edhe ekipi i KeePassXC ka kaluar një problem të ngjashëm, gjë që përforcon idenë se më së shumti ka të ngjarë që dikush të ketë përgatitur raporte të bazuara në studimin e gabimeve të fiksuara që mund të çojnë potencialisht në dobësi, por që zhvilluesit e projekteve kryesore e pranuan se nuk ndikojnë në sigurinë (për shembull, mund të ketë një tejmbushje buferi, por manifestohet vetëm gjatë përpunimit të dhëna të brendshme që nuk mund të ndikohen nga përdoruesi).

më në fund nëse jeni të interesuar të dinë më shumë për të, ju mund të kontrolloni detajet në lidhja vijuese.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.