حسابرسی امنیتی بر روی کتابخانه‌ی cURL و کشف چندین آسیب‌پذیری

۹در آخرین نسخه‌ی کتابخانه‌ی cURL تقریباً ۱۲ آسیب‌پذیری وصله شده است. نیمی از این آسیب‌پذیری‌ها در حسابرسی که توسط کارشناسان امنیتی انجام شده، کشف شده است.

cURL یک کتابخانه و ابزار خط فرمان متن‌باز است که برای انتقال داده طراحی شده است. cURL در هزاران برنامه‌ی نرم‌افزاری اعم از دستگاه‌های شبکه، چاپگرها، تجهیزات رسانه‌ای، تلویزیون‌ها، تلفن، تبلت و حتی ماشین‌ها مورد استفاده قرار گرفته است.

دنیل استنبرگ، توسعه‌دهنده‌ی ارشد cURL و کارمند موزیلا، از برنامه‌ی متن‌باز امنیتی۱ (SOS) موزیلا درخواست کرد تا یک حسابرسی امنیتی بر روی cURL انجام دهد. این حسابرسی در طول ۲۰ روز در ماه‌های مرداد و شهریور توسط محققان امنیتی شرکت آلمانی Cure۵۳ انجام شد.

در این حسابرسی ۲۳ اشکال کشف شد که ۹ مورد از آن‌ها آسیب‌پذیری‌های جدی محسوب می‌شدند. توسعه‌دهندگان cURL این یافته‌ها را مورد تحلیل و بررسی قرار دادند و متوجه شدند که دو مورد از این آسیب‌پذیری‌ها در هم ادغام شده‌اند و یکی دیگر از آسیب‌پذیری‌ها نیز خیلی مهم نیست زیرا به سناریوی حمله‌ی بسیار پیچیده نیاز دارد.

در گزارش شرکت Cure۵۳ تعداد ۹ آسیب‌پذیری مطرح شده است. ۴ مورد از این آسیب‌پذیری‌ها از درجه‌ی اهمیت بالایی برخوردارند و ۴ مورد دیگر نیز درجه‌ی متوسط دریافت کردند. آسیب‌پذیری‌ها با شدت بالا می‌توانند منجر به اجرای کد از راه دور شوند. شناسه‌ی این آسیب‌پذیری‌های جدی عبارتند از: CVE-۲۰۱۶-۸۶۱۷ ،CVE-۲۰۱۶-۸۶۱۹ ،CVE-۲۰۱۶-۸۶۲۲ و CVE-۲۰۱۶-۸۶۲۳.

باوجود تعداد زیاد اشکالاتی که کشف شده، نتیجه‌گیری شرکت Cure۵۳ این‌گونه بوده است: «تصور کلی ما از امنیت و پایداری کتابخانه‌ی cURL مثبت است.»
آخرین نسخه‌ی cURL نسخه‌ی ۷.۵۱.۰ تعداد ۱۱ آسیب‌پذیری را وصله کرده است. علاوه بر ۷ آسیب‌پذیری که توسط شرکت Cure۵۳ کشف شده، محققان امنیتی دیگر نیز چند آسیب‌پذیری گزارش کرده‌اند. استنبرگ اشاره کرده قبل از انجام این حسابرسی، در به‌روزرسانی cURL تنها ۴ آسیب‌پذیری برطرف شده بود.

استنبرگ در یک پست وبلاگی گفت: «من حسابرسی بر روی این کتابخانه را درخواست کردم به این دلیل که اخیراً مسائل امنیتی جدیدی اتفاق افتاده است و ممکن است مسئله‌ای از دید ما پنهان مانده باشد. پس بهتر بود از سایر محققان امنیتی نیز بخواهیم که نگاهی به کد این کتابخانه بیندازند. علاوه بر این، cURL مؤلفه‌ای است که در بسیاری از نرم‌افزارها در سراسر دنیا مورد استفاده قرار می‌گیرد. وجود یک مشکل در این کتابخانه می‌تواند اثرات جدی بر روی دستگاه‌های مختلف در کل دنیا بگذارد و ما نمی‌خواهیم که این اتفاق بیفتد.»

۱. Secure Open Source

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter