专家警告说,Curl库容易受到两个缺陷的影响,其中之一“可以说是近代历史上在Curl中发现的最严重的安全缺陷”。
对于新手来说,Curl是一个开源命令行工具,用于通过URL语法传输数据。它支持多种网络协议,包括SSL、TLS、HTTP、FTP、SMTP等。
它主要被开发人员和系统管理员用来与API交互、下载文件和创建自动化工作流程。
Qualys威胁研究部门的产品经理SaeedAbbasi发表了一篇博文,解释了这些缺陷和即将推出的修复方案。他在公告中表示,正在解决的两个漏洞被追踪为CVE-2023-38545和CVE-2023-38546。第一个被标记为高严重性,并且影响libcurl和curl工具。第二个是低严重性的,仅影响libcurl。
鉴于修复程序尚未发布,研究人员不想分享更多细节。除此之外,他们无法说出哪些版本容易受到攻击,因为这将有助于非常准确地查明有问题的区域。
在GitHub讨论中,维护者DanielStenberg仅表示这些缺陷影响“最近几年”的版本。他说,这是“我能得到的最具体的信息”。“当然,在我们发布补丁之前,有人可能(再次)发现这个问题的风险很小,但由于某种原因,这个问题多年来一直未被发现,”斯坦伯格补充道。
Abbasi确认,该更新预计将于今年10月11日发布,届时Curl将发布8.4.9版本。“各组织应紧急盘点并扫描所有使用curl和libcurl的系统,一旦10月11日发布Curl8.4.0的细节被披露,就可以识别潜在的易受攻击的版本。”