Parfois les experts en sécurité ont de l’humour. JFrog vient de publier un rapport sur une faille de sécurité critique dans Curl et Libcurl, des outils open source largement utilisés. Elle est référencée CVE-2024-6197.
« Nos chercheurs ont découvert que l’ensemble des conditions préalables nécessaires à l’exploitation de cette vulnérabilité est plus restrictif qu’on ne le pensait initialement, ainsi que son impact », a déclaré Yair Mizrahi, Security Research Team Lead de JFrog Security. « Une vulnérabilité classée critique n’est pas toujours critique pour vous – le contexte d’une CVE est crucial, et nous pensons que la grande majorité des utilisateurs de curl ne sera pas affectée par cette vulnérabilité, malgré son classement élevé de gravité. Nous recommandons aux utilisateurs de mettre à jour vers la nouvelle version Curl 8.9.0 pour résoudre la vulnérabilité et de rester vigilants sur toutes les versions qui pourraient être à risque (8.6.0 jusqu’à et y compris 8.8.0). »
La vulnérabilité ne peut être exploitée quand des conditions très spécifiques : le curl utilisé doit se connecter à un serveur TLS malveillant lui-même utilisant une certificat TLS modifié, seul capable d’être exploité dans un scénario très spécifique et le curl utilisé doit l’être dans un contexte lui même bien défini et contenir un certificat curl lui aussi configuré d’une certaine manière.
L’équipe de JForg précise que cette attaque est particulièrement complexe et très spécifique. Et cette faille est présence dans une version récente de curl qui n’est sans doute pas largement intégrée aux distributions Linux et entre-temps, les correctifs seront appliqués. Bref, les chances de pouvoir exploiter cette faille sont très minces.
Résolution : mettre à jour le curl avec la version la plus récente : 8.9.x.