Аудит безопасности cURL выявил несколько уязвимостей

Последняя версия обновлений cURL исправляет почти десяток уязвимостей, более половины из которых были обнаружены в результате аудита, проведенного недавно экспертами в области безопасности.

cURL – утилита командной строки с открытым исходным кодом, предназначенная для передачи данных. cURL используется тысячами программных приложений, включая сетевые устройства, принтеры, медиа-оборудования, телефоны, планшетные компьютеры, телевизоры и даже автомобили.

Дэниел Стенберг (Daniel Stenberg), ведущий разработчик cURL и сотрудник Mozilla, запросил аудит безопасности у программы Mozilla Secure Open Source (SOS). Аудит проводился в течение 20 дней в августе и сентябре пятью тестерами из Германии.

В общей сложности аудит выявил 23 проблемы, включая 9 брешей в безопасности. Далее результаты анализировались разработчиками cURL, которые объединили две уязвимости в одну, а другую пометили как «несущественный баг», так как в этом случае речь идет о весьма сложном сценарии атаки.

Из девяти уязвимостей, подробно описанных в докладе Cure53, 4 были расценены как уязвимости высокой степени риска и еще 4 как уязвимости средней степени. Бреши высокой степени риска позволяют удаленно выполнить код и идут под идентификаторами CVE-2016-8617, CVE-2016-8619, CVE-2016-8622 и CVE-2016-8623.

Несмотря на значительное число недостатков, Cure53 пришли к выводу, что «общее впечатление о состоянии безопасности и надежности библиотеки cURL довольно положительное».

Последняя версия cURL 7.51.0 исправляет в общей сложности 11 уязвимостей. Стенберг отметил, что это рекорд выявленных уязвимостей в рамках одного аудита, до этого наибольшее количество уязвимостей, зафиксированных в одном выпуске, было четыре.