curl&libcurl高危漏洞CVE-2023-38545即将公开，如何应对？

背景

Curl是从1998年开始开发的开源网络请求命令行工具，其中包含的libcurl也被作为组件广泛用于应用的HTTP请求。

10月4日，curl项目的作者bagder(Daniel Stenberg)在GitHub中预告将于10月11日发布 8.4.0 版本，并公开两个漏洞：CVE-2023-38545和CVE-2023-38546。其中 CVE-2023-38545是同时影响命令行工具curl和依赖库libcurl的高危漏洞，CVE-2023-38546是仅影响libcurl的低危漏洞。

截止当前还没有相关的漏洞细节公开，作者也认为噪声过多关闭了帖子的讨论。

图1：curl的开发者 bagder 预告漏洞

风险预估

curl的广泛使用

Curl 从 1998 年维护至今，已经成为 HTTP 请求命令行工具的事实标准，具有丰富的 Api 和 Abi(应用程序二进制接口)，因此被广泛应用于需要网络传输的产品或设备中，如手机/平板、操作系统、服务器、医疗和物联网设备等。

curl/libcurl 还广泛应用于以下方面：

GitHub中有2.6万个相关的开源项目，墨菲安全分析发现其中php、shell、JavaScript、Python、C/C++项目中使用较多，在Java、Go、Ruby项目中使用较少；

图2：curl/libcurl相关不同语言的开源代码仓库占比

具有网络传输功能的客户端应用程序，如办公套件LibreOffice、火狐浏览器等；

几乎所有的操作系统，如：Linux、Windows、macOS、iOS 和 Android等。

漏洞利用可能性与危害

1. curl/libcurl 是网络请求的客户端，不像服务端一样常驻，相比于服务端往往会有利用窗口限制。

2. 从历史漏洞上看，curl较为重视安全，漏洞评级给大家的直观感受是偏高的，当然也由于CVSS强调的是对其本身的评级，并不用于体现在实际环境中的危害性。

3. 从历史curl的漏洞来看，漏洞利用成本普遍较高，成功利用往往需要具有目标系统本地操作权限、特定的配置或用户交互等较高的前置条件。

4. 过往高危漏洞主要是缓冲区溢出类漏洞以及协议实现层面的逻辑漏洞，漏洞危害可能导致远程代码执行或者泄漏请求和响应数据。

应对策略

由于目前漏洞细节并未公开，建议可以提前排查使用到了curl/libcurl的业务，在相关漏洞细节公开后进一步根据具体的利用条件排查和修复。

通过对curl和libcurl的引入方式和文件分析，我们梳理了排查方式供参考：

curl

从引入依赖的方式来看，通常应用中会通过系统命令直接调用 curl ，例如在 shell 中通过调用 curl 进行 http 请求。

此时需要考虑系统发行版中自带的 curl ，以及应用中可以打包包含的 curl 文件。

curl -V 命令输出的 banner 信息可作为其特征：

$ curl -Vcurl 7.68.0 (x86_64-pc-linux-gnu) libcurl/7.68.0 OpenSSL/1.1.1f zlib/1.2.11 brotli/1.0.7 libidn2/2.3.0 libpsl/0.21.0 (+libidn2/2.2.0) libssh/0.9.3/openssl/zlib nghttp2/1.40.0 librtmp/2.3Release-Date: 2020-01-08

可以分别从进程和系统环境中排查：

对于系统环境中的curl，可以通过 curl -V | egrep -o '^curl [678]+.[0-9]+.[0-9]+' 获取对应的版本

对于进程中的curl，可以通过对文件进行识别，如strings curl | egrep -o '^curl [678]+.[0-9]+.[0-9]+'

libcurl

在libcurl中也存在相同的特征：

CLIENT libcurl 7.44.0-DEVlibcurl/7.44.0-DEV

libcurl通常以动态链接库的形式存在，如libcurl.so.4.8.0，应用依赖的libcurl ，可能存在于系统lib目录，如/usr/lib/，也可能被应用直接打包进应用目录。

因此排查需要考虑：

对系统lib目录及应用目录中的文件分析，如strings libcurl.so | egrep -o 'libcurl[ -/]([678]+.[0-9]+.[0-9]+)'

运行中的应用可以通过分析进程打开文件来判断，如sudo lsof | egrep -o '/.*.so.*' | xargs -I {} bash -c "strings {} | egrep -o 'libcurl[ -/]([678]+.[0-9]+.[0-9]+)'"

libcurl典型依赖分析

典型的，在c/c++中cpr、curlpp、crub等项目、python中的 pycurl、ruby 中的 typhoeus 都提供了 libcurl 的封装。

针对国内企业典型的 CentOS系统 + Java应用环境，我们进行了分析。

依赖了libcurl的rpm包

我们爬取了所有的 Centos 官方发布的 rpm 包，通过解析构建文件识别 libcurl 依赖。目前已知以下包依赖了 libcurl ，后续我们会持续更新：

perl-WWW-Curlcertmongerqemu-kvm-madevtoolset-10-elfutilsgstreamer1-plugins-bad-freecephdotnetgit19-gitmariadb-connector-camandaipadotnet3.1aideqemu-kvmrh-mysql80-mysqlrng-toolsgeoipupdatexmlrpc-cthunderbirdsblim-sfcbrh-git227-gitpython-pycurlrusthttpd24-mod_securitygitrh-git29-gitlibgit2dotnet3.0systemdlibopenrawrpm-ostreegcc-toolset-11-elfutilsgcc-toolset-10-elfutilslibreofficefirefoxdovecotcurlgstreamer-plugins-bad-freelibvirtrh-git218-gitcreaterepo_chttpd24-curlelfutilsglusterfsdevtoolset-10-gdbrsyslogdotnet5.0ceph-commonlibcmisflatpak-builderlibquvirh-passenger40-passengercompat-exiv2-026sssdfwupdvorbis-toolslibrepostrongimcvruby193-rubygem-passenger40rh-nginx18-nginxtpm2-toolshttpd24-mod_md

maven中央仓库中直接包含libcurl的组件

我们爬取所有的 maven 中央仓库组件的jar包、aar包，解压后判断是否包含了 libcurl.so 文件，目前已知存在少数的包将 libcurl 打包进其中（后续持续更新）：

org.danbrough.kotlinxtras:curlLinuxX64Binariesorg.danbrough.kotlinxtras:curlLinuxArm32HfpBinariesorg.danbrough.kotlinxtras:curlAndroidNativeX64Binariesio.dldb.sdk:dldb-lib-no-cpp-sharedio.dldb.sdk:dldb-liborg.danbrough.kotlinxtras:curlAndroidNativeArm32Binariesorg.danbrough.kotlinxtras:curlAndroidNativeX86Binariescom.amazon.alexa.aace:alexaorg.danbrough.kotlinxtras:curlLinuxArm64Binariescom.qiniu:qplayer2-coreorg.danbrough.kotlinxtras:curlAndroidNativeArm64Binaries

参考链接

https://github.com/curl/curl/discussions/12026
https://curl.se/docs/security.html
https://daniel.haxx.se/blog/2021/12/03/why-curl-is-used-everywhere-even-on-mars/

【关于墨菲安全】

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等，丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署，目前已服务多家互联网、金融、人工智能、IOT行业头部企业客户，公司核心团队来自百度、华为等企业，拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。

【关于墨菲安全实验室】

墨菲安全实验室是墨菲未来科技旗下的安全研究团队，专注于软件供应链安全相关领域的技术研究，关注的方向包括：开源软件安全、程序分析、威胁情报分析、企业安全治理等。