SOCKS5 proxy မှတဆင့်ဝင်ရောက်သည့်အခါတွင် ထင်ရှားသော curl နှင့် libcurl တွင် ကြားခံများ ပြည့်လျှံနေသည်

အားနည်းချက်တစ်ခု (CVE-2023-38545) ကို curl network နှင့် libcurl စာကြည့်တိုက်တို့မှတဆင့် ဒေတာလက်ခံခြင်းနှင့် ပေးပို့ခြင်းအတွက် utility တွင် ခွဲခြားသတ်မှတ်ထားပြီး၊ ၎င်းသည် ပြိုင်တူလုပ်ဆောင်နေသော buffer overflow နှင့် attacker code များကို လုပ်ဆောင်နိုင်ချေရှိသည်။ curl utility သို့မဟုတ် libcurl ကို အသုံးပြု၍ အက်ပလီကေးရှင်းကို အသုံးပြု၍ တိုက်ခိုက်သူမှ ထိန်းချုပ်ထားသော HTTPS ဆာဗာသို့ ဝင်ရောက်သည့်အခါ client ဘက်မှ။ SOCKS5 proxy မှတဆင့်ဝင်ရောက်ခွင့်ကို curl တွင်ဖွင့်ထားမှသာ ပြဿနာပေါ်လာပါမည်။ ပရောက်စီမပါဘဲ တိုက်ရိုက်ဝင်ရောက်သည့်အခါတွင် အားနည်းချက်ပေါ်လာမည်မဟုတ်ပါ။ အားနည်းချက်ကို curl 8.4.0 ထုတ်ဝေမှုတွင် ပြင်ဆင်ထားသည်။ Hackerone ၏ Internet Bug Bounty အစပျိုးမှု၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့် အဆိုပါ bug ကို ရှာဖွေတွေ့ရှိခဲ့သော လုံခြုံရေးသုတေသီသည် ဆုငွေ $4660 ရရှိခဲ့သည်။

အားနည်းချက်သည် SOCKS5 proxy ကိုမဝင်ရောက်မီ hostname ဖြေရှင်းချက်ကုဒ်တွင် အမှားအယွင်းတစ်ခုကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ လက်ခံသူအမည်သည် စာလုံးရေ 256 လုံးအထိ ရှည်ပါက၊ curl သည် ၎င်း၏ဘေးဘက်ရှိ ကြည်လင်ပြတ်သားမှုအတွက် SOCKS5 ပရောက်စီသို့ အမည်ကို ချက်ချင်းပေးပို့ပြီး အမည်သည် စာလုံးရေ 255 လုံးထက်ပိုပါက၊ ၎င်းသည် စက်တွင်းဖြေရှင်းသူထံ ပြောင်းပြီး သတ်မှတ်ထားပြီးသားလိပ်စာကို SOCKS5 သို့ ပေးပို့သည်။ . ကုဒ်တွင် အမှားအယွင်းတစ်ခုကြောင့်၊ ဒေသဆိုင်ရာ ဖြေရှင်းချက်လိုအပ်ကြောင်း ညွှန်ပြသော အလံကို SOCKS5 မှတစ်ဆင့် ချိတ်ဆက်မှုနှေးကွေးသော ညှိနှိုင်းမှုအတွင်း မှားယွင်းသောတန်ဖိုးအဖြစ် သတ်မှတ်နိုင်သည်၊ ၎င်းသည် မျှော်လင့်ထားသည့်အတိုင်း ခွဲဝေချထားပေးထားသည့် ကြားခံတစ်ခုတွင် ရှည်လျားသောအိမ်ရှင်အမည်ကို မှတ်တမ်းတင်နိုင်စေခဲ့သည်။ IP လိပ်စာ သို့မဟုတ် အမည်ကို စာလုံး 255 ထက်မပိုစေဘဲ သိမ်းဆည်းခြင်း။

SOCKS5 proxy မှတဆင့် curl ဖြင့်ဝင်ရောက်ထားသော site ၏ပိုင်ရှင်သည် တောင်းဆိုချက်ပြန်လည်ညွှန်းကုဒ် (HTTP 30x) ကိုပြန်ပေးကာ "တည်နေရာ-" ခေါင်းစီးကို 16 အထက်အကွာအဝေးရှိ hostname တစ်ခုရှိသော URL တစ်ခုသို့သတ်မှတ်ခြင်းဖြင့် client-side buffer overflow ကို အစပျိုးနိုင်သည် 64 KB မှ (16 KB သည် ခွဲဝေပေးထားသော ကြားခံကို ကျော်လွန်ရန် လိုအပ်သော အနိမ့်ဆုံးအရွယ်အစားဖြစ်ပြီး 65 KB သည် URL တစ်ခုတွင် အများဆုံးခွင့်ပြုထားသော hostname အရှည်ဖြစ်သည်)။ တောင်းဆိုချက်ကို libcurl ဆက်တင်များတွင် ဖွင့်ထားပြီး SOCKS5 ပရောက်စီသည် လုံလောက်သောနှေးကွေးပါက၊ ရှည်လျားသော host name ကို ပိုသေးငယ်သောအရွယ်အစားရှိ သိသာထင်ရှားသော သေးငယ်သည့်ကြားခံတစ်ခုသို့ စာရေးပါမည်။

အားနည်းချက်သည် 65541 ထက်နည်းသော တန်ဖိုးရှိသော "--limit-rate" option ကိုအသုံးပြုသည့်အခါမှသာ libcurl ကိုအခြေခံထားသော application များကိုအကျိုးသက်ရောက်ပြီး curl utility တွင်ပေါ်လာသည် - libcurl သည် ပုံမှန်အားဖြင့် 16 KB အရွယ်အစားရှိ ကြားခံတစ်ခုနှင့် curl utility တွင်ဖြစ်သည်။ ၎င်းသည် 100 KB ဖြစ်သည်၊ သို့သော် ၎င်းသည် “-limit-rate” ကန့်သတ်ဘောင်၏တန်ဖိုးအပေါ် မူတည်၍ အရွယ်အစား ပြောင်းလဲသည်။

ပရောဂျက်ရေးသားသူ Daniel Stenberg က အားနည်းချက်သည် 1315 ရက်ကြာအောင် မတွေ့ရှိသေးကြောင်း ဖော်ပြခဲ့သည်။ Curl သည် memory-safe ဘာသာစကားဖြင့်ရေးသားပါက curl တွင်ယခင်ကသတ်မှတ်ထားသောအားနည်းချက်များ၏ 41% ကို ရှောင်ရှားနိုင်ဖွယ်ရှိကြောင်း၊ သို့သော် လာမည့်အနာဂတ်တွင် curl ကိုအခြားဘာသာစကားသို့ပြန်လည်ရေးရန်အစီအစဉ်မရှိကြောင်း၎င်းကပြောပါသည်။ ကုဒ်အခြေခံ၏ လုံခြုံရေးကို မြှင့်တင်ရန် အစီအမံများအနေနှင့်၊ ကုဒ်စမ်းသပ်ခြင်းအတွက် ကိရိယာများကို ချဲ့ထွင်ရန်နှင့် memory ဖြင့် လုံခြုံစွာ လုပ်ဆောင်နိုင်စေရန် သေချာသည့် ပရိုဂရမ်းမင်းဘာသာစကားများဖြင့် ရေးသားထားသော မှီခိုမှုများကို ပိုမိုတက်ကြွစွာ အသုံးပြုရန် အဆိုပြုထားသည်။ Rust တွင် စမ်းသပ်လုပ်ဆောင်ခဲ့သည့် Hyper HTTP backend ကဲ့သို့သော လုံခြုံသောဘာသာစကားများဖြင့် ရေးသားထားသော ရွေးချယ်မှုများဖြင့် curl ၏အစိတ်အပိုင်းများကို တဖြည်းဖြည်းအစားထိုးနိုင်ခြေကိုလည်း ထည့်သွင်းစဉ်းစားနေသည်။

source: opennet.ru