| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
Zusammenfassung
In cURL and libcURL bis 7.31.1 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Es geht um eine nicht näher bekannte Funktion der Komponente Domain Name Handler. Mittels Manipulieren mit unbekannten Daten kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2014-3613 gelistet. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Es wurde eine Schwachstelle in cURL sowie libcURL bis 7.31.1 (Network Utility Software) entdeckt. Sie wurde als kritisch eingestuft. Es geht dabei um eine unbekannte Verarbeitung der Komponente Domain Name Handler. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-310 vorgenommen. Auswirken tut sich dies auf die Integrität.
Die Schwachstelle wurde am 10.09.2014 durch Tim Ruehsen als libcurl cookie leak with IP address as domain in Form eines bestätigten Advisories (Website) publiziert. Das Advisory findet sich auf curl.haxx.se. Die Identifikation der Schwachstelle wird seit dem 14.05.2014 mit CVE-2014-3613 vorgenommen. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1600 bezeichnet. Das Advisory weist darauf hin:
By not detecting and rejecting domain names for partial literal IP addresses properly when parsing received HTTP cookies, libcurl can be fooled to both sending cookies to wrong sites and into allowing arbitrary sites to set cookies for others. For this problem to trigger, the client application must use the numerical IP address in the URL to access the site and the site must send back cookies to the site using domain= and a partial IP address. Since libcurl wrongly approaches the IP address like it was a normal domain name, a site at IP address 192.168.0.1 can set cookies for anything ending with .168.0.1 thus fooling libcurl to send them also to for example 127.168.0.1. The flaw requires dots to be present in the IP address, which restricts the flaw to IPv4 literal addresses or IPv6 addresses using the somewhat unusual "dotted-quad" style: "::ffff:192.0.2.128" This is not believed to be done by typical sites as this is not supported by clients that adhere to the rules of the RFC 6265, and many sites are written to explicitly use their own specific named domain when sending cookies.Vor einer Veröffentlichung handelte es sich 26 Tage um eine Zero-Day Schwachstelle. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 09.10.2014 ein Plugin mit der ID 78093 (Fedora 19 : curl-7.29.0-23.fc19 (2014-10714)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 43619 (Juniper Junos OS Multiple vulnerabilities in cURL versions (JSA10874)) zur Prüfung der Schwachstelle an.
Ein Aktualisieren auf die Version 7.38.0 vermag dieses Problem zu lösen. Eine neue Version kann von curl.haxx.se bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben nachweislich unmittelbar gehandelt.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (95925), Tenable (78093), SecurityFocus (BID 69748†) und Vulnerability Center (SBV-58214†) dokumentiert. Weitere Informationen werden unter bugzilla.redhat.com bereitgestellt. Die Einträge VDB-8439, VDB-9262, VDB-10906 und VDB-11245 sind sehr ähnlich. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Typ
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.6
VulDB Base Score: 5.3
VulDB Temp Score: 4.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache VerschlüsselungCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Unbewiesen
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 78093
Nessus Name: Fedora 19 : curl-7.29.0-23.fc19 (2014-10714)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 703022
OpenVAS Name: Debian Security Advisory DSA 3022-1 (curl - security update)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: cURL/libcURL 7.38.0
Timeline
14.05.2014 🔍15.08.2014 🔍
10.09.2014 🔍
10.09.2014 🔍
11.09.2014 🔍
12.09.2014 🔍
09.10.2014 🔍
18.11.2014 🔍
13.04.2016 🔍
14.04.2016 🔍
15.02.2022 🔍
Quellen
Advisory: libcurl cookie leak with IP address as domainPerson: Tim Ruehsen
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2014-3613 (🔍)
GCVE (CVE): GCVE-0-2014-3613
GCVE (VulDB): GCVE-100-67527
OVAL: 🔍
X-Force: 95925 - cURL/libcURL IP address security bypass, Medium Risk
SecurityFocus: 69748 - cURL/libcURL CVE-2014-3613 Remote Security Bypass Vulnerability
Vulnerability Center: 58214 - cURL 7.1 through 7.37.1 Remote Bypass Restrictions due to Improper Detect and Reject Domain Names, Medium
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 12.09.2014 10:14Aktualisierung: 15.02.2022 22:51
Anpassungen: 12.09.2014 10:14 (89), 04.02.2019 16:14 (1), 15.02.2022 22:51 (3)
Komplett: 🔍
Cache ID: 216:B1F:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.