Os mantenedores da biblioteca Curl lançaram um aviso sobre duas futuras vulnerabilidades de segurança que devem ser resolvidas como parte das atualizações lançadas em 11 de outubro de 2023.
Isso inclui uma falha de alta gravidade e outra de baixa gravidade rastreadas sob os identificadores
CVE-2023-38545
e
CVE-2023-38546
, respectivamente.
Detalhes adicionais sobre os problemas e os intervalos exatos de versão impactados foram retidos devido à possibilidade de que as informações pudessem ser usadas para "ajudar a identificar o problema (área) com uma precisão muito alta".
Dito isso, os "últimos vários anos" de versões da biblioteca são ditos como afetados.
"Certo, existe um risco mínimo de que alguém possa encontrar isso (novamente) antes de enviarmos o patch, mas essa questão permaneceu sem detecção por anos por um motivo", disse Daniel Stenberg, o desenvolvedor principal por trás do projeto, em uma mensagem postada no GitHub.
Curl, alimentado por libcurl, é uma ferramenta popular de linha de comando para transferência de dados especificada com sintaxe de URL.
Ele suporta uma ampla variedade de protocolos como FTP(S), HTTP(S), IMAP(S), LDAP(S), MQTT, POP3, RTMP(S), SCP, SFTP, SMB(S), SMTP(S), TELNET, WS e WSS.
Enquanto
CVE-2023-38545
impacta tanto libcurl quanto curl,
CVE-2023-38546
afeta apenas libcurl.
"Com detalhes específicos de intervalo de versão não divulgado para evitar identificação pré-lançamento do problema, as vulnerabilidades serão corrigidas na versão do curl 8.4.0", disse Saeed Abbasi, gerente de produto na Qualys Threat Research Unit (TRU).
"As organizações devem urgentemente inventariar e escanear todos os sistemas que utilizam curl e libcurl, prevendo a identificação de versões potencialmente vulneráveis assim que os detalhes forem divulgados com o lançamento do Curl 8.4.0 em 11 de outubro."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...