سازندگان کتابخانه Curl[1] یک هشدار درباره دو آسیب پذیری امنیتی در پیش رو منتشر کرده اند که انتظار می رود به عنوان بخشی از به روز رسانی های منتشر شده در ۱۱ اکتبر ۲۰۲۳ برطرف شود.
این شامل[۲] یک نقص با شدت بالا و یک نقص با شدت کم است که به ترتیب تحت شناسههای CVE-2023-38545 و CVE-2023-38546 ردیابی میشوند.
جزئیات بیشتر در مورد مشکلات و محدوده نسخه دقیق تحتتأثیر، منتشر نشده است، زیرا این امکان وجود دارد که از این اطلاعات برای “کمک به شناسایی مشکل با دقت بسیار بالا استفاده شود.”
گفته میشود که در «چند سال گذشته» نسخههای این کتابخانه تحتتأثیر قرار گرفته است.
Daniel Stenberg، توسعهدهنده اصلی این پروژه، در پیامی گفت: «مطمئناً، خطر ناچیزی وجود دارد که کسی بتواند این آسیبپذیری را قبل از ارسال وصله پیدا کند، اما این مشکل در GitHub برای سالها به دلایلی ناشناخته مانده است.»
Curl که توسط libcurl پشتیبانی میشود، یک ابزار خط فرمان محبوب[۳] برای انتقال دادههای مشخص شده با سینتکس URL است و از طیف گستردهای از پروتکلها مانند FTP(S)، HTTP(S)، IMAP(S)، LDAP(S)، MQTT، POP3، RTMP(S)، SCP، SFTP، SMB(S)، SMTP(S)، TELNET، WS، و WSS پشتیبانی میکند.
درحالیکه ۲۰۲۳-۳۸۵۴۵ بر libcurl و curl تأثیر می گذارد، CVE-2023-38546 فقط بر libcurl تأثیر می گذارد.
سعید عباسی، مدیر محصول در واحد تحقیقات Qualys Threat (TRU) گفت[۴]: «با جزئیات مشخصی از محدوده نسخه فاش نشده برای جلوگیری از شناسایی مشکل پیش از انتشار، آسیبپذیریها در نسخه curl 8.4.0 رفع خواهند شد.»
سازمانها باید فوراً همه سیستمهایی را که از curl و libcurl استفاده میکنند، فهرست و اسکن کنند، و پیشبینی کنند که نسخههای بالقوه آسیبپذیر را پس از افشای جزئیات با انتشار Curl 8.4.0 در ۱۱ اکتبر شناسایی کنند.
منابع
[۱] https://github.com/curl/curl
[۲] https://github.com/curl/curl/discussions/12026
[۳] https://curl.se/docs/manpage.html
[۴] https://blog.qualys.com/vulnerabilities-threat-research/2023/10/05/curl-8-4-0-proactively-identifying-potential-vulnerable-assets
[۵] https://thehackernews.com/2023/10/security-patch-for-two-new-flaws-in.html
ثبت ديدگاه