Lese-Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.

Rätselraten um Sicherheitslücke in Curl

Im Kommandozeilen Tool Curl steck eine schwere Sicherheitslücke. Der Curl-Entwickler Daniel Stenberg will am 11. Oktober näheres dazu veröffentlichen.

Curl-Entwickler Stenberg äußert sich bislang nur auf X (Twitter) zum Vorfall. Am 11. Oktober werde es zu dem Problem weitere Informationen geben, schreibt er dort, und zwar 30 Sekunden nachdem die Version 8.4.0 veröffentlicht worden sei, die dann wohl gegen das Problem gepatcht ist.

Stenberg spricht zudem vom „schlimmsten Sicherheitsproblem, das seit langem in Curl gefunden wurde“. Weiterhin sei auch die Programmbibliothek libcurl betroffen, die als eine der meist verwendeten Software-Bibliotheken überhaupt gilt.

Stenberg empfiehlt angesichts der Lücke in Curl auf X: Buckle up! (Schnallt euch an!).

Der Beitrag Rätselraten um Sicherheitslücke in Curl erschien zuerst auf Linux-Magazin.

Tails 5.13 bringt Curl

Mit Version 5.13 des The Amnesic Incognito Live System(Tails) haben die Entwickler unter anderem Curl als Kommandozeilenwerkzeug zum Herunterladen über HTTPS, FTP und andere Protokolle hinzugefügt.

Curl kommt damit als Alternative zu Wget in das System. Alles was der Nutzer mit Curl machen, gehe über das Tor-Netzwerk. Wer Curl in einem lokalen Netzwerk benutzen will, solle es stattdessen mit „/usr/bin/curl“ aufrufen, teilen die Entwickler mit.

Neu ist auch, dass nun LUKS2 standardmäßig für alle neuen Persistent Storage und LUKS-verschlüsselten Volumes zum Einsatz kommt. LUKS2 biete standardmäßig eine stärkere Kryptographie als LUKS, heißt es. Das Team will in Tails 5.14, das Anfang Juni erscheinen soll, einen Migrationsplan von LUKS1 zu LUKS2 für bestehenden Persistent Storages bereitstellen.

Als eines der Updates kommt der Tor Browser nun in Version 12.0.6 mit. Der Browser basiert auf Firefox 102.11 und beseitigt unter anderem Sicherheitsprobleme.

Der Beitrag Tails 5.13 bringt Curl erschien zuerst auf Linux-Magazin.

Gelöschte Curl-Instanz zerschießt Windows-Updates

Auch wenn Security-Scanner vor ungepatchter Software warnen, sollten Windows-Systemkomponenten wie Curl nicht manipuliert werden.

Der Hauptentwickler der Download- und Transferbibliothek Curl, Daniel Stenberg, warnt in seinem Blog ausdrücklich davor, die mit Windows ausgelieferte Curl-Version zu löschen oder eigenständig zu ersetzen. Denn dies hat offenbar zur Folge, dass Windows-Upgrades nicht mehr durchgeführt werden können, weil Windows selbst eine Manipulation seines Systems erkennt und das Upgrade schließlich verweigert.

Der Vorgang und die Warnung sind unerwartet, laut Stenberg aber aktuell motiviert. Für die Erklärung der Hintergründe muss der Open-Source-Entwickler relativ weit ausholen und beginnt mit der Integration von Curl in das Windows-System. Zuvor war es lange Zeit vergleichsweise schwierig, Curl selbst für Windows zu kompilieren und dort einzusetzen. Kurz nach der Windows-Integration lieferte das Curl-Projekt selbst auch offizielle Windows-Builds aus.

Diese Art der parallelen Installationsmöglichkeiten und Entwicklungen führt nun offenbar aber zu weiteren Problemen in Bezug auf die Pflege und Sicherheitshinweise für die Software. Stenberg verweist im konkreten Fall auf einen Bug mit CVE-ID, der durch das Curl-Projekt selbst schon länger behoben ist. Microsoft behob den Fehler jedoch erst einige Monate später in seiner als Systemkomponente vertriebenen Version.

In der Zwischenzeit wurde jedoch wohl die Windows-Version von einem Security-Scanner wegen der Sicherheitslücke als gefährdet markiert. Doch statt in diesem Fall auf das Windows-Update zu warten, finden sich im Netz Empfehlungen dazu, wie die Warnung der Security-Scanner umgegangen werden kann. Diese Tipps umfassen aber die Deinstallation der Windows-Version von Curl – oder den Ersatz dieser durch eine Version der Open-Source-Version mit den eingangs beschriebenen Problemen.

Der Beitrag Gelöschte Curl-Instanz zerschießt Windows-Updates erschien zuerst auf Linux-Magazin.

Curl 8.0 zum Jubiläum

Das kleine Netzwerk-Tool Curl gehört zum Werkzeugkasten zahlreicher Administratoren und Entwickler. Pünktlich zum 25. Geburtstag liegt die Version 8.0 vor, die allerdings keine Neuerungen bietet. 136 Gründe für ein Update gibt es dennoch.

Laut Curl-Erfinder Daniel Stenberg wollte man mit dem Versionssprung vor allem verhindern, dass die zweite Stelle der Versionsnummer zu groß wird. Er weist zudem explizit darauf hin, dass Curl 8.0 weder die API noch die ABI ändert.

Das Curl-Team hat jedoch insgesamt 130 Bugs erschlagen und sechs Sicherheitslücken gestopft. Fünf Sicherheitsprobleme stuft Daniel Stenberg als wenig und einen als mittelschwer ein. In seinem Blog-Post stellt er alle Lücken vor.

Mit der Version 8.0 feiert das Werkzeug gleichzeitig seinen 25. Geburtstag. Die Ursprünge gingen zurück auf das Werkzeug „httpget“, mit dem Daniel Stenberg eigentlich nur aktuelle Währungskurse automatisiert herunterladen wollte. Letztendlich übernahm er die Entwicklung als Maintainer, fügte weitere Protokolle und Funktionen hinzu und benannte das Tool in Curl um. Besonders langlebig war die Versionsreihe 7, die seit der Jahrtausendwende existierte. Die komplette Geschichte von Curl im Schnelldurchlauf liefert Daniel Stenberg in einem eigenen Blog-Beitrag.

Der Beitrag Curl 8.0 zum Jubiläum erschien zuerst auf Linux-Magazin.

Curl-Entwickler kritisiert fehlende Unterstützung von Apple

Entwickler Daniel Stenberg hat immer wieder Probleme mit Großkonzernen und deren Open-Source-Einstellung. Über Apple zeigt er sich nun enttäuscht.

Der Hauptentwickler der Download- und Transferbibliothek Curl, Daniel Stenberg, berichtet in seinem Blog über eine Hardware-Spende eines “großzügigen” Mitglieds der größeren Curl-Community. Dabei handelt es sich um einen Mac Mini mit M1-Chip (Test), der für die Entwicklung genutzt werden soll. Stenberg nutzt die Gelegenheit aber auch erneut für Kritik an dem Hardware-Hersteller Apple und dessen Verhältnis zur Open-Source-Entwicklung.

Unter der Überschrift “Apple hilft nicht” schreibt der schwedische Entwickler: “Apple liefert und verwendet Curl seit zwanzig Jahren in seinen Produkten, aber weder unterstützen sie, noch helfen sie oder tragen auf andere Weise zur Entwicklung bei. Sie sponsern uns auch in keiner Weise, wie etwa mit Hardware.”

Schon allein deshalb sei das Curl-Projekt auf eine Hardware-Spende angewiesen, die Stenberg auch dankend angenommen hat. Denn Curl-Nutzer hätten natürlich auch ab und an Probleme auf Apple-Plattformen. Ohne direkten Zugriff auf die passende Hardware sei es aber schwierig, diese zu beheben. Der Entwickler weist dabei auf einen Tweet von Apple aus dem vergangenen Jahr hin, wo das Unternehmen als Antwort auf eine Support-Anfrage eines Nutzers der Apple-Systeme auf das Curl-Projekt verwies.

Damals schrieb Stenberg in seinem Blog: “Stellen Sie sich vor, Sie führen ein Billionen-Dollar-Unternehmen, das verschiedene Open-Source-Komponenten in Ihre Produkte bündelt und jährlich Milliarden von Dollar Gewinn macht. Wenn sich einer Ihrer Benutzer an Sie wendet und um Hilfe bittet, für ein Produkt, das Sie an Ihre Kunden liefern, verweisen Sie den Benutzer stattdessen auf das Open-Source-Projekt. Ein Projekt, das von Freiwilligen betrieben wird, das Sie nie mit einem Cent gesponsert haben. Wer würde so etwas nur tun?” Die Antwort lieferte Stenberg mit einem Screenshot des Tweets von Apple nach.

Die Curl-Bibliothek wird in einer Vielzahl von Produkten eingesetzt und ist vermutlich eines der am häufigsten verwendeten Open-Source-Projekte überhaupt. Die allermeisten mit dem Internet verbundenen Geräte dürften über eine Variante von Curl verfügen. Dazu gehören Waschmaschinen, Autos oder Fernsehgeräte ebenso wie klassische PC- und Server-Betriebssysteme. Die Finanzierung und Entwicklung von Curl erscheint im Vergleich dazu aber extrem prekär, finanzielle Unterstützung durch die Unternehmen gibt es so gut wie nie.

So hat Stenberg den Code über einen Zeitraum von etwa zwei Jahrzehnten ausschließlich in seiner Freizeit gepflegt. Erst seit wenigen Jahren kann der Entwickler in Vollzeit an dem Projekt arbeiten. Mithilfe von Geld aus dem Sovereign Tech Fund der Bundesregierung soll es möglich werden, dass erstmals ein zweiter Entwickler direkt an Curl arbeiten kann – zunächst für sechs Monate.

Die Situation scheint aber vielen Nutzern nicht immer bewusst zu sein. So berichtet Stenberg mehr oder weniger regelmäßig von Support-Anfragen durch Endnutzer, die Stenbergs E-Mail offenbar in den Lizenzhinweisen diverser Produkte finden. Darüber hinaus erhielt der Entwickler, erst Anfang dieses Jahres eine dringende E-Mail eines Fortune-500-Konzerns, mit der Bitte um Antwort innerhalb von 24 Stunden. Das Unternehmen ist offenbar davon ausgegangen, einen Support-Vertrag für Curl zu haben, was nicht der Fall war.

Der Beitrag Curl-Entwickler kritisiert fehlende Unterstützung von Apple erschien zuerst auf Linux-Magazin.

❌