网络第5域

苹果“篡改”cURL行为引起开发者不满 实际弱化了安全性

字号+作者: 来源:蓝点网 2024-03-11 13:18 评论(创建话题) 收藏成功收藏本文

cURL开发者丹尼尔上周在博客中发布了一篇文章抨击苹果“篡改”cURL导致的“安全问题”,这个问题最初是2023年12月有用户提交的,跟踪ID为12604。丹尼尔针'...

cURL开发者丹尼尔上周在博客中发布了一篇文章抨击苹果“篡改”cURL导致的“安全问题”,这个问题最初是2023年12月有用户提交的,跟踪ID为12604。丹尼尔针对该问题进行调查后发现这并不是cURL的问题,而是苹果在部署中进行了一些修改,为此丹尼尔发邮件给苹果,苹果安全团队还表示有意这么干的,不需要“修复”。UWG品论天涯网

UWG品论天涯网

大概情况是这样的:UWG品论天涯网

cURL允许开发者使用参数--cacert来指定一组CA证书,如果TLS服务器无法对这组证书进行验证时,那么应该失败并返回错误。UWG品论天涯网

这种特殊行为早在2000年12月就已经添加到了cURL中,这让开发者可以只对特定的CA证书进行信任,而不是信任所有有效的CA证书,比如防止某些CA因为审核不严导致签发错误证书进行劫持。UWG品论天涯网

在macOS中,开发者仍然可以使用这个参数,但苹果的处理方法是检查系统的CA存储库,也就是直接验证苹果在macOS中指定的那组CA证书,而不是开发者指定的一组CA证书。UWG品论天涯网

因此当开发者使用一组进行编辑的特定CA证书时,正常情况下不包含在这组CA证书中的证书那应该失败,但如果这个/这些证书位于macOS存储库中,那么cURL不会返回失败。UWG品论天涯网

所以这实际上是一个安全缺陷。UWG品论天涯网

针对此问题丹尼尔在2023年12月29日向苹果安全团队报告,这不是一个大问题,但确实是个问题。UWG品论天涯网

直到2024年3月8日苹果才回复邮件:UWG品论天涯网

Apple版本的OpenSSL(LibreSSL)有意使用内置系统信任存储作为默认信任源,由于可以使用内置系统存储成功验证服务器证书,因此我们认为不需要在我们的平台中解决。UWG品论天涯网

对于这个说法丹尼尔并不同意,因为实际上这篡改了cURL,这个未记录的功能使得macOS用户使用cURL时,CA验证完全不可靠并且与cURL的文档不符,这是苹果在欺骗用户。UWG品论天涯网

问题是这并不是cURL的问题,因此丹尼尔无法发布CVE或任何内容,于是现在问题陷入了僵局。UWG品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]