Patch de Segurança para Duas Novas Falhas na Biblioteca Curl Chegando em 11 de Outubro
9 de Outubro de 2023

Os mantenedores da biblioteca Curl lançaram um aviso sobre duas futuras vulnerabilidades de segurança que devem ser resolvidas como parte das atualizações lançadas em 11 de outubro de 2023.

Isso inclui uma falha de alta gravidade e outra de baixa gravidade rastreadas sob os identificadores CVE-2023-38545 e CVE-2023-38546 , respectivamente.

Detalhes adicionais sobre os problemas e os intervalos exatos de versão impactados foram retidos devido à possibilidade de que as informações pudessem ser usadas para "ajudar a identificar o problema (área) com uma precisão muito alta".

Dito isso, os "últimos vários anos" de versões da biblioteca são ditos como afetados.


"Certo, existe um risco mínimo de que alguém possa encontrar isso (novamente) antes de enviarmos o patch, mas essa questão permaneceu sem detecção por anos por um motivo", disse Daniel Stenberg, o desenvolvedor principal por trás do projeto, em uma mensagem postada no GitHub.


Curl, alimentado por libcurl, é uma ferramenta popular de linha de comando para transferência de dados especificada com sintaxe de URL.

Ele suporta uma ampla variedade de protocolos como FTP(S), HTTP(S), IMAP(S), LDAP(S), MQTT, POP3, RTMP(S), SCP, SFTP, SMB(S), SMTP(S), TELNET, WS e WSS.

Enquanto CVE-2023-38545 impacta tanto libcurl quanto curl, CVE-2023-38546 afeta apenas libcurl.


"Com detalhes específicos de intervalo de versão não divulgado para evitar identificação pré-lançamento do problema, as vulnerabilidades serão corrigidas na versão do curl 8.4.0", disse Saeed Abbasi, gerente de produto na Qualys Threat Research Unit (TRU).

"As organizações devem urgentemente inventariar e escanear todos os sistemas que utilizam curl e libcurl, prevendo a identificação de versões potencialmente vulneráveis assim que os detalhes forem divulgados com o lançamento do Curl 8.4.0 em 11 de outubro."

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...