cURL 的作者和维护者 Daniel Stenberg(在线别名 bagder)发布了关于计划于 10 月 11 日发布的 cURL 版本 8.4.0 的警告说明,该版本将包含 cURL 和 libcurl 中高严重性漏洞的安全修复程序。
开发人员表示,被称为CVE-2023-38545的漏洞是“长期以来在curl中发现的最严重的安全问题”。
cURL 开发人员尚未透露有关该缺陷具体性质的许多细节,因为现阶段分享更多信息可以帮助攻击者识别根本原因并利用该漏洞。
不过,开发者已负责任地报告了该问题,并表示用户应尽快更新到cURL最新版本来修补问题。
保留某些技术方面的信息是一种常见做法,以避免在实施修复之前暴露系统。一旦安全更新充分推出,我们将不得不等待开发人员分享有关错误确切来源的更多细节。
我无法透露有关受影响的版本范围的任何信息,因为这将有助于以非常高的准确度识别问题(区域),因此我无法提前这样做。“过去几年”的版本是我所能得到的最具体的。-斯坦伯格说。
据开发人员称,这一高严重性缺陷将影响 cURL 和 libcurl 库。此外,还将修复另一个名为 CVE-2023-38546的漏洞,该漏洞是一个严重程度较低的漏洞,仅影响 libcurl,而不影响该工具。该漏洞的严重程度低于 CVE-2023-38545,
什么是 cURL 和 libcurl?
cURL(客户端 URL)是一个命令行工具,允许使用各种网络协议传输数据。它支持常见的互联网协议,如 HTTP、HTTPS、FTP、SFTP、SCP、SMTP、POP3、IMAP 等。cURL 构建在 libcurl 库之上,它实现了 cURL 支持的各种协议和功能。
libcurl 是一个开源 C 库,支持客户端 URL 传输。它处理协议细节并允许程序通过支持的协议发出网络请求并接收响应。libcurl 是可移植的,可以在许多操作系统和平台上使用。
curl 可执行文件是一个构建在 libcurl 库之上的客户端,为使用简单命令通过网络传输数据提供易于使用的工具。cURL 和 libcurl 一起提供了一个多功能工具集,用于使用互联网协议将数据传输到远程服务器或从远程服务器传输数据。
我是否容易受到 CVE-2023-38545 的影响?
回答这个问题是不可能的。其原因是 cURL 和 libcurl 开源工具已经存在超过 25 年,非常受欢迎。它们被用于许多行业的数十亿个应用程序(直接或间接)。
没有使用 cURL/libcurl 的所有项目和产品的明确的集中列表或注册表。它们的使用非常分散。经常创建利用 cURL/libcurl 的新产品和脚本。保持更新的全球列表是不切实际的。
几乎每个连接互联网的设备都使用 cURL 或 libcurl(直接或间接)。这包括几乎所有基于 Linux 的操作系统和其他操作系统、服务器、打印机、Android 设备、汽车、智能设备、所有物联网设备等。
这次我们想向社区提出一个问题。告诉我们哪些技术、平台或产品没有使用 cURL?😌
还有什么受到影响?
一位用户问 Bagder,该漏洞是否也影响 pycurl、python-pycurl 等?
他回复如下声明:
“是的,会的。一般来说:理论上,所有使用 libcurl 的东西都可以以触发此漏洞的方式使用 libcurl,假设条件适用并且使用了易受攻击的 libcurl 版本。当然,一些/许多用户也会在不使用 libcurl 的情况下使用 libcurl能够触发该漏洞。”
“我现在不可能对特定的 libcurl 用户做出肯定的声明。”