Beschreibung:
cURL ist ein weit verbreitetes Mehrzweck-Open-Source-Befehlszeilen-Tool, das die URL-Syntax zur Datenübertragung verwendet und eine Vielzahl von Netzwerkprotokollen wie SSL, TLS, HTTP, FTP und SMTP unterstützt.libcurl ist eine leistungsfähige Treiberbibliothek für cURL, eine freie clientseitige URL-Transportbibliothek, die ebenfalls eine Vielzahl von Protokollen unterstützt. Beide sind bei Entwicklern und Systemadministratoren für die Interaktion mit APIs, das Herunterladen von Dateien und die Erstellung automatisierter internetbasierter Arbeitsabläufe sehr verbreitet.
cURL und liblocken. Das Vorhandensein einer schwerenSicherheitslückeDie als CVE-2023-38545 bezeichnete Sicherheitslücke wird als schwerwiegend eingestuft und könnte es einem Angreifer ermöglichen, unter bestimmten Bedingungen bösartigen Code auszuführen oder andere nicht autorisierte Aktionen durchzuführen.
Umfang der Auswirkungen:
cURL ist ein 25 Jahre altes Softwareprojekt und ein sehr populäres Stück Basissoftware, aber libcurl ist wahrscheinlich die populärste und am weitesten verbreitete HTTP-Client-Bibliothek der Welt, mit über 10 Milliarden Installationen.
Es wird von fast jedem Gerät verwendet, das mit dem Internet verbunden ist. Dazu gehören die meisten Betriebssysteme, Server, medizinische Geräte, Server, Drucker und sogar Autos, Spielkonsolen und intelligente Uhren.
Version < Curl 8.4.0
Schwachstellen-POC:
bis auf Weiteres
Wiederherstellungsprogramm:
Die Sicherheitslücke wird in url 8.4.0 behoben, das am 11. Oktober veröffentlicht wird. Bleiben Sie dran!
Referenz für die Schwachstelle:
https://github.com/curl/curl/discussions/12026
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/cve-2023-38545-curl-und-libcurl-bibliothek-sicherheitslucken-html
