Normale Ansicht

Ältere BeiträgeHaupt-Feeds

Rätselraten um Sicherheitslücke in Curl

✇Linux-Magazin
Von:Ulrich Bantle
06. Oktober 2023 um 08:27

Im Kommandozeilen Tool Curl steck eine schwere Sicherheitslücke. Der Curl-Entwickler Daniel Stenberg will am 11. Oktober näheres dazu veröffentlichen.

Curl-Entwickler Stenberg äußert sich bislang nur auf X (Twitter) zum Vorfall. Am 11. Oktober werde es zu dem Problem weitere Informationen geben, schreibt er dort, und zwar 30 Sekunden nachdem die Version 8.4.0 veröffentlicht worden sei, die dann wohl gegen das Problem gepatcht ist.

Stenberg spricht zudem vom „schlimmsten Sicherheitsproblem, das seit langem in Curl gefunden wurde“. Weiterhin sei auch die Programmbibliothek libcurl betroffen, die als eine der meist verwendeten Software-Bibliotheken überhaupt gilt.

Stenberg empfiehlt angesichts der Lücke in Curl auf X: Buckle up! (Schnallt euch an!).

Der Beitrag Rätselraten um Sicherheitslücke in Curl erschien zuerst auf Linux-Magazin.

Tails 5.13 bringt Curl

✇Linux-Magazin
Von:Ulrich Bantle
17. Mai 2023 um 15:08

Mit Version 5.13 des The Amnesic Incognito Live System(Tails) haben die Entwickler unter anderem Curl als Kommandozeilenwerkzeug zum Herunterladen über HTTPS, FTP und andere Protokolle hinzugefügt.

Curl kommt damit als Alternative zu Wget in das System. Alles was der Nutzer mit Curl machen, gehe über das Tor-Netzwerk. Wer Curl in einem lokalen Netzwerk benutzen will, solle es stattdessen mit „/usr/bin/curl“ aufrufen, teilen die Entwickler mit.

Neu ist auch, dass nun LUKS2 standardmäßig für alle neuen Persistent Storage und LUKS-verschlüsselten Volumes zum Einsatz kommt. LUKS2 biete standardmäßig eine stärkere Kryptographie als LUKS, heißt es. Das Team will in Tails 5.14, das Anfang Juni erscheinen soll, einen Migrationsplan von LUKS1 zu LUKS2 für bestehenden Persistent Storages bereitstellen.

Als eines der Updates kommt der Tor Browser nun in Version 12.0.6 mit. Der Browser basiert auf Firefox 102.11 und beseitigt unter anderem Sicherheitsprobleme.

Der Beitrag Tails 5.13 bringt Curl erschien zuerst auf Linux-Magazin.

Gelöschte Curl-Instanz zerschießt Windows-Updates

✇Linux-Magazin
Von:Sebastian Grüner / Golem.de
25. April 2023 um 08:54

Auch wenn Security-Scanner vor ungepatchter Software warnen, sollten Windows-Systemkomponenten wie Curl nicht manipuliert werden.

Der Hauptentwickler der Download- und Transferbibliothek Curl, Daniel Stenberg, warnt in seinem Blog ausdrücklich davor, die mit Windows ausgelieferte Curl-Version zu löschen oder eigenständig zu ersetzen. Denn dies hat offenbar zur Folge, dass Windows-Upgrades nicht mehr durchgeführt werden können, weil Windows selbst eine Manipulation seines Systems erkennt und das Upgrade schließlich verweigert.

Der Vorgang und die Warnung sind unerwartet, laut Stenberg aber aktuell motiviert. Für die Erklärung der Hintergründe muss der Open-Source-Entwickler relativ weit ausholen und beginnt mit der Integration von Curl in das Windows-System. Zuvor war es lange Zeit vergleichsweise schwierig, Curl selbst für Windows zu kompilieren und dort einzusetzen. Kurz nach der Windows-Integration lieferte das Curl-Projekt selbst auch offizielle Windows-Builds aus.

Diese Art der parallelen Installationsmöglichkeiten und Entwicklungen führt nun offenbar aber zu weiteren Problemen in Bezug auf die Pflege und Sicherheitshinweise für die Software. Stenberg verweist im konkreten Fall auf einen Bug mit CVE-ID, der durch das Curl-Projekt selbst schon länger behoben ist. Microsoft behob den Fehler jedoch erst einige Monate später in seiner als Systemkomponente vertriebenen Version.

In der Zwischenzeit wurde jedoch wohl die Windows-Version von einem Security-Scanner wegen der Sicherheitslücke als gefährdet markiert. Doch statt in diesem Fall auf das Windows-Update zu warten, finden sich im Netz Empfehlungen dazu, wie die Warnung der Security-Scanner umgegangen werden kann. Diese Tipps umfassen aber die Deinstallation der Windows-Version von Curl – oder den Ersatz dieser durch eine Version der Open-Source-Version mit den eingangs beschriebenen Problemen.

Der Beitrag Gelöschte Curl-Instanz zerschießt Windows-Updates erschien zuerst auf Linux-Magazin.

Curl 8.0 zum Jubiläum

✇Linux-Magazin
Von:Tim Schürmann
23. März 2023 um 08:16

Das kleine Netzwerk-Tool Curl gehört zum Werkzeugkasten zahlreicher Administratoren und Entwickler. Pünktlich zum 25. Geburtstag liegt die Version 8.0 vor, die allerdings keine Neuerungen bietet. 136 Gründe für ein Update gibt es dennoch.

Laut Curl-Erfinder Daniel Stenberg wollte man mit dem Versionssprung vor allem verhindern, dass die zweite Stelle der Versionsnummer zu groß wird. Er weist zudem explizit darauf hin, dass Curl 8.0 weder die API noch die ABI ändert.

Das Curl-Team hat jedoch insgesamt 130 Bugs erschlagen und sechs Sicherheitslücken gestopft. Fünf Sicherheitsprobleme stuft Daniel Stenberg als wenig und einen als mittelschwer ein. In seinem Blog-Post stellt er alle Lücken vor.

Mit der Version 8.0 feiert das Werkzeug gleichzeitig seinen 25. Geburtstag. Die Ursprünge gingen zurück auf das Werkzeug „httpget“, mit dem Daniel Stenberg eigentlich nur aktuelle Währungskurse automatisiert herunterladen wollte. Letztendlich übernahm er die Entwicklung als Maintainer, fügte weitere Protokolle und Funktionen hinzu und benannte das Tool in Curl um. Besonders langlebig war die Versionsreihe 7, die seit der Jahrtausendwende existierte. Die komplette Geschichte von Curl im Schnelldurchlauf liefert Daniel Stenberg in einem eigenen Blog-Beitrag.

Der Beitrag Curl 8.0 zum Jubiläum erschien zuerst auf Linux-Magazin.

❌
❌