Les mainteneurs du Bibliothèque de boucles ont publié un avertissement concernant deux vulnérabilités de sécurité qui devraient être corrigées dans le cadre d’une prochaine mise à jour dont la publication est prévue le 11 octobre 2023.
Ce comprend une faille de haute gravité et une faille de faible gravité suivies sous les identifiants CVE-2023-38545 et CVE-2023-38546, respectivement.
Des détails supplémentaires sur les problèmes et les plages de versions exactes concernées ont été retenus en raison de la possibilité que les informations puissent être utilisées pour « aider à identifier le problème (la zone) avec une très grande précision ».
Cela dit, les versions « des dernières années » de la bibliothèque seraient concernées.
« Bien sûr, il existe un risque infime que quelqu’un puisse (à nouveau) trouver cela avant que nous expédiions le correctif, mais ce problème est resté indétectable pendant des années pour une raison », a déclaré Daniel Stenberg, le développeur principal du projet, dans un message publié. sur GitHub.
Curl, propulsé par libcurl, est un outil de ligne de commande populaire pour transférer les données spécifiées avec la syntaxe URL. Il prend en charge une large gamme de protocoles tels que FTP(S), HTTP(S), IMAP(S), LDAP(S), MQTT, POP3, RTMP(S), SCP, SFTP, SMB(S), SMTP(S). ), TELNET, WS et WSS.
Alors que 2023-38545 affecte à la fois libcurl et curl, CVE-2023-38546 affecte uniquement libcurl.
« Les détails spécifiques de la gamme de versions n’étant pas divulgués pour empêcher l’identification des problèmes avant la publication, les vulnérabilités seront corrigées dans la version curl 8.4.0 », Saeed Abbasi, chef de produit chez Qualys Threat Research Unit (TRU), dit.
« Les organisations devraient de toute urgence inventorier et analyser tous les systèmes utilisant curl et libcurl, en anticipant l’identification des versions potentiellement vulnérables une fois que les détails seront divulgués avec la sortie de Curl 8.4.0 le 11 octobre. »