curlの複数の脆弱性情報(Low: CVE-2020-8284, Medium: CVE-2020-8285, CVE-2020-8286 )

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8284
- curlがFTP転送をパッシブモードで行う際には、最初にEPSVコマンドを実行しそれがサポートされていない場合にはPASVを使うようにしています。パッシブモードはcrulではデフォルトになっています。
  PASVコマンドのサーバ側のレスポンスにはクライアントがデータ転送のために接続する(IPv4)アドレスとポート番号が含まれています。
  悪意のあるサーバはPASVへのレスポンスを使ってcrulをだまして特定のIPアドレスとポートに接続させることが出来ます。これにより、ポートスキャンやサービスバナー抽出など、他の方法では開示されていない情報をcurlに抽出させる可能性があります。
  curlがユーザにより与えられたURLを操作する場合、ユーザがそれを悪用して悪意のあるFTPサーバーインスタンスにURLを渡すことが出来ます。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8285
- libcurlは、libcurlが使用可能な全てのエントリのリストを反復処理する際に、コールバック(CURLOPT_CHUNK_BGN_FUNCTIONで設定)がディレクトリ内の特定のエントリを処理する方法をlibcurlに情報を返すワイルドマッチング機能を提供します。
  このコールバックがCURL_CHUNK_BGN_FUNC_SKIPを返すと、libcurlにそのファイルを処理しないように指示し、libcurlの内部関数は自信を再帰的に呼び出して次のディレクトリエントリを処理します。
  充分な量のファイルエントリがある場合、コールバックが充分な回数の”skip”を返すため、libcurlはスタックスペースを使い果たし、libcurlを使っているアプリにDoSを引き起こす事ができる可能性があります。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8286
- libcurlは、CURLOPT_SSL_VERIFYSTATUSオプションを通して”OCSPステープリング”機能を提供します。これを設定すると、libcurlはサーバがTLSハンドシェイクの一部として応答するOCSP応答を検証します。
  OCSP応答検証の一部として、クライアントは応答が正しい証明書に実際に設定されていることを検証する必要があります。この手順はOpenSSLをTLSのバックエンドとして使用するようにしていたばあいに正しく機能していませんでした。
  この欠陥に寄り、TLSサーバに侵入した攻撃者は、元の証明書が実際に取り消されたように見える不正なOCSPレスポンスを返すことができる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

対処は各ディストリビューションの情報に従ってください。

[参考]

https://curl.se/docs/CVE-2020-8284.html

https://curl.se/docs/CVE-2020-8285.html

https://curl.se/docs/CVE-2020-8286.html

セキュリティ系連載案内

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる？」が連載されています。
OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter（BPF）入門」が連載されています。