Curl schließt 18 Schwachstellen, darunter einen 25 Jahre alten Fehler

Zusammenfassung

Das Open-Source-Werkzeug und die Bibliothek curl sind in dieser Woche mit Sicherheitsupdates für 18 Schwachstellen aktualisiert worden. Nach Angaben im Quelltext handelt es sich um vier Lücken mit mittlerem und 14 mit niedrigem Schweregrad. Besonders auffällig ist ein Fehler, der vor 25 Jahren eingeführt wurde: Die als CVE-2026-8932 verfolgte Schwachstelle betrifft libcurl-Anwendungen, nicht jedoch das Kommandozeilenwerkzeug curl selbst, und könnte zu einer Umgehung der Authentifizierung führen. Ausgelöst wurde die breitere Prüfung durch einen Community-Aufwand, nachdem Anthropics Mythos Anfang Mai einen einzelnen Curl-Fehler entdeckt hatte. Laut dem Quelltext ist dies die Curl-Veröffentlichung mit der bislang höchsten Zahl an CVEs, die in einem einzigen Update behoben wurden. Öffentliche Berichte über eine erfolgreiche Ausnutzung von Sicherheitslücken in curl unter realen Bedingungen liegen demnach bislang nicht vor.

Im Zentrum des Updates steht CVE-2026-8932, ein Problem bei der Wiederverwendung von mTLS-Verbindungen. Der Fehler wurde laut Quelltext in Version 7.7 eingeführt, die am 22. März 2001 ausgeliefert wurde. Betroffen sind libcurl-Anwendungen; das Kommandozeilenwerkzeug curl ist davon nicht betroffen.

Die Schwachstelle kann zu einer Umgehung der Authentifizierung führen. Das Schwachstellenmanagement-Unternehmen Aisle erklärt die Ursache damit, dass „libcurl eine bestehende Verbindung wiederverwenden konnte, selbst nachdem Einstellungen für Client-Zertifikate oder private Schlüssel geändert worden waren“.

Ausgangspunkt der aktuellen Untersuchung war laut Quelltext ein einzelner Curl-Fehler, den Anthropics Mythos Anfang Mai entdeckt hatte. Danach folgte eine gemeinschaftliche Überprüfung, bei der weitere Schwachstellen identifiziert wurden. Aisle gibt an, mit seiner KI-Plattform mehrere Schwächen in curl und libcurl gefunden zu haben; sechs davon erhielten in diesem Jahr eine CVE, darunter auch CVE-2026-8932.

Zu den weiteren im Quelltext genannten Schwachstellen zählen eine Verwechslung von Zugangsdaten in CVE-2026-8926, ein Double-Free in CVE-2026-8925, Use-after-free-Fehler in CVE-2026-9080 und CVE-2026-10536 sowie eine fehlerhafte Host-Validierung in CVE-2026-9547. Insgesamt behebt die neue Version 18 Schwachstellen.

Aisle verweist darauf, dass curl für Sicherheitsforscher ein besonders interessantes Ziel ist, gerade weil die leicht auffindbaren Fehler nach eigener Einschätzung längst bereinigt seien. Übrig geblieben seien schwer auffindbare Probleme in alten Protokollpfaden, bei der Wiederverwendung von Zuständen, im Verhalten von Callbacks, bei der Auswahl von Zugangsdaten und in Codepfaden, die leicht übersehen würden.

Der Quelltext beziffert die Verbreitung von curl auf mehr als 30 Milliarden Geräte, darunter Server, Telefone und Autos. Gerade wegen dieser breiten Nutzung könnten Schwachstellen in curl für Angreifer wertvoll sein. Zugleich heißt es aber auch, dass es bislang keine öffentlichen Berichte über eine erfolgreiche Ausnutzung irgendeines Sicherheitsfehlers in curl unter realen Bedingungen gibt.

Curl schließt 18 Schwachstellen, darunter einen 25 Jahre alten Fehler

Ähnliche Artikel

Neueste Artikel