Microsoft поставляет устаревшие, уязвимые опенсорсные утилиты с Windows 10 и 11

В списке рассылки Seclists, посвящённом информационной безопасности, обратили внимание на пренебрежительное отношение Microsoft к опенсорсным компонентам в составе Windows 10 и 11.

Так, в декабре 2017 года Microsoft объявила о включении в состав Windows 10 программ curl.exe и tar.exe. Но компания не смогла сделать это нормальным образом, а потерпела «жалкую неудачу» (как пишут в списке рассылки): она взяла версию curl 7.55.1 от 14.11.2017 года — и вообще не обновляла её два года, применив пару патчей в 2019 году (без обновления), а потом опять забыв о программе ещё на два года до нынешнего времени.

За это время вышло 34 новых версии curl, а в древнем curl 7.55.1 задокументировано 15 уязвимостей.
«Очевидно, процессы разработки в Microsoft настолько плохи, что они не могут
собрать из исходников текущую версию и вынуждены вместо этого поставлять сгнившее программное обеспечение», — пишет разработчик Стефан Кантак (Stefan Kanthak).

История исправления этой уязвимости в Microsoft говорит сама за себя. О проблеме было сообщено 21 июля 2021 года. На следующий день Microsoft открыла тикет MSRC номер 66388, затем подтвердила наличие уязвимости. 5 августа компания анонсировала исправление и назначила его на 12 октября 2021 года. Но в этот день нормальное исправление не вышло, то есть никто не обновил устаревшие программы. Вместо этого вышло обновление безопасности KB5006672, с которым поставляется та же уязвимая старая версия 7.55.1, собранная 12 августа 2019 года… Это подтверждается списком файлов обновления KB5006672.

| curl.exe,7.55.1.0,12-Aug-2019,19:46,"386,048"
| curl.exe,7.55.1.0,12-Aug-2019,20:28,"421,376"
| curl.exe,7.55.1.0,12-Aug-2019,19:46,"386,048"
...
| Windows 10 version 1809 LCU Arm64-based,,,,
| File name,File version,Date,Time,File size
| curl.exe,7.55.1.0,12-Aug-2019,19:37,"330,240"
...
| curl.exe,7.55.1.0,12-Aug-2019,19:46,"386,048"
...
| curl.exe,7.55.1.0,12-Aug-2019,20:22,"435,712"

tar и curl в командной строке Windows 10 (cmd.exe)
image-loader.svg

image-loader.svg


Кстати, на проблему с устаревшей версией curl указывали ещё в сентябре 2019 года, что ещё больше подчёркивает факт пренебрежительного отношения Microsoft к безопасности опенсорсных компонентов.

В качестве альтернативы из командной строки Windows можно использовать wget, хотя это не настоящий GNU wget, а просто алиас для майкрософтовской команды Invoke-WebRequest.

Get-Alias wget
CommandType Name
----------- ----
Alias wget -> Invoke-WebRequest

Чтобы по команде wget запустить настоящий wget, нужно сначала удалить этот алиас (в $PROFILE PowerShell):

Remove-Item Alias:\wget -force

© Habrahabr.ru