In der OpenSource Client-Server-Anwendung “Curl” wurde eine Sicherheitslücke entdeckt, die mit einer aktualisierten Version der Software behoben ist. Switch-Komponenten von barox Kommunikation sind nach Mitteilung des Herstellers nicht betroffen.
In der OpenSource Server-Client-Anwendung „Curl“, die zur Anbindung netzbasierter APIs (Schnittstellen) und zur Kommunikation und Steuerung verschiedener Anwendungen dient, wurde eine Sicherheitslücke gefunden. Curl wird zum Beispiel auch für verschiedene HTTP-Aufrufe und für Downloads verwendet.
Manipulierte HTTPS-Server werden für mögliche Angriffe genutzt
Ein mögliches Angriffsszenario ist die Nutzung eines manipulierten HTTPS-Servers, auf den ein Client, der libcurl verwendet, über einen SOCKS5-Proxy (mit Proxy-Resolver-Modus) zugreift. Der Angreifer kann den HTTPS-Server dazu bringen, eine manipulierte Weiterleitung per HTTP-Antwort mit einem 30x-Status zurückzugeben. Dazu kann zum Beispiel ein Pufferüberlauf (Stack Overflow) ausgenutzt werden.
Die betreffende Schwachstelle wurde laut Entwickler mit der Curl-Version 8.4.0 a, 11. Oktober 2023 behoben. Anwender, Entwickler und andere Nutzer von Curl sollten auf die Version 8.4.0 upgraden, vor allem, wenn ein SOCKS5-Proxy zum Einsatz kommt.
Switch-Komponenten laut barox nicht betroffen
Wie barox Kommunikation auf seiner Website schreibt, sind seine Switch-Komponenten von der Sicherheitslücke nicht betroffen, weil für eventuell benötigte Curl-Ressourcen die Serverversion läuft und diese nicht für das Beschreiben von Abfragen dient, sondern zum Empfang von Befehlen des Clients ohne direkten Zugriff auf die Curl-Serversteuerung.
Bei Fragen zu Sicherheitskomponenten von barox Kommunikation oder von anderen Herstellern stehen Ihnen unsere Sicherheitsexperten von German Protect gerne zur Verfügung.
Herr Bogdan Tamasan ist seit 1994 in der Sicherheitsbranche tätig und seit 2011 geschäftsführender Gesellschafter der ESA GmbH German Protect mit über 27-jähriger Erfahrung im Bereich Sicherheitstechnik, Schutz, Prävention, Planung und Projektentwicklung. In seiner Tätigkeit als Sicherheitsberater für verschiedene Konzerne und Institutionen europaweit, konnte sich Herr Tamasan in dieser langen Zeitspanne eine fundierte und praxisnahe Erfahrung und Wissen aneignen, welches von Jahr zu Jahr durch verschiedene System- und Partnerzertifizierungen vertieft wurde. Ein kleiner Auszug seiner Zertifizierungen: Axis Solutions Partner, IHK zertifizierte Fachkraft für Video-Sicherheitstechnik, Hikvision Sub-Distributor, Vivotek Expert, Hanwha Security Engineering, Mobotix Advanced Partner, Avigilon Partner, Sony Video Security Gold Partner, Flir Partner, Eneo System Integrator, Bosch Partner, Seetec Professional, Milestone Partner, Wave Professional, Aimetis Certifed, zertifizierter Telenot Facherrichter und Stützpunkt, Planung und Einbau von Einbruchmeldeanlagen nach VdS 2311 und VDE 0833, Q-Geprüfte Fachkraft für Rauchmelder gemäß DIN 14676, Videofied zertifizierter Partner, Risco Certified, Jablotron zertifizierter Partner, Ajax zertifizierter Partner, rayTec Professional SimonsVoss Partner usw.
Erfahren Sie mehr zum Autor des Inhalts:
Bogdan Tamasan