امنیت

December 17, 2023
11:39 یکشنبه، 26ام آذرماه 1402
کد خبر: 154632

از دست رفتن کل داده‌های HSTS در curl!

منبع: ماهر

curl یک کتابخانه و ابزار خط فرمان می‌باشد که جهت انتقال داده‌ها با استفاده از پروتکل‌های مختلف شبکه بکار گرفته می‌شود و دارای آسیب‌پذیری با شناسه CVE-2023-46219 می‌باشد. این نقص امنیتی به شکلی عمل می‌کند که تلاش برای ذخیره داده HSTS در فایلی با نام طولانی منجر به پاک شدن و از دست رفتن کل داده‌ها خواهد شد. این مسئله موجب می‌شود درخواست‌های بعدی مبتنی بر آن فایل، بدون در نظر گرفتن وضعیت داده‌ی HSTS که قبلا وارد شده بود انجام پذیرند. داده HSTS (HTTP Strict-Transport-Security) به مرورگرها اطلاع می‌دهد که سایت فقط باید با استفاده از HTTPS (نوع امنیت‌یافته پروتکل HTTP) قابل دسترسی باشد و هرگونه تلاش جهت دسترسی به آن با استفاده از HTTP باید به طور خودکار به HTTPS تبدیل شود.

علت وقوع این نقص ناشی از آن است که تابع ذخیره‌سازی، ابتدا یک پسوند به انتهای نام فایل اضافه کرده، سپس یک فایل موقت ایجاد می‌کند و نهایتأ نام آن را به نام نهایی تغییر می‌دهد. هنگامی که طول رشته نام، به سقف مجاز در فایل‌سیستم برسد، اضافه کردن داده به این فایل منجر به از دست رفتن کل محتوای فایل می‌شود.

محصولات تحت تأثیر
نسخه‌های7.84.0  تا 8.4.0 نسبت به این نقص امنیتی آسیب‌پذیر می‌باشند و در نسخه‌های قبل و بعد از آن‌ها، نقصی امنیتی خاصی مشاهده نشده است. این نقص هنگام استفاده از curl به عنوان کتابخانه و همچین در خط فرمان موجود است.

توصیه‌های امنیتی 
•    ارتقاء به نسخه 8.5.0 و همچنین نام‌گذاری فایل موقت با استفاده از یک دنباله تصادفی از حروف.
•    توسعه‌دهندگان curl توصیه کرده‌اند که بهتر است برای نسخه‌ی درحال استفاده، از وصله ارائه شده استفاده کرد و از به کار بردن HSTS پرهیز شود.‌

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.