日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
準(zhǔn)備熬夜加班?curl&libcurl高危漏洞明日公布

近日,curl項目的作者bagder(Daniel Stenberg)在GitHub中發(fā)布消息稱,將在2023年10月11日發(fā)布curl的8.4.0版本。同時,他們還將公開兩個漏洞:CVE-2023-38545和CVE-2023-38546。如下圖所示:

圖片來源于互聯(lián)網(wǎng)

其中CVE-2023-38545是同時影響命令行工具 curl 和依賴庫 libcurl 的高危漏洞,鑒于 curl&libcurl 使用量巨大,高危漏洞 CVE-2023-38545 又即將公開,提醒各位網(wǎng)安人:抓緊排查公司業(yè)務(wù)和產(chǎn)品使用上述兩個庫的情況,并做好升級準(zhǔn)備。

有安全人員吐槽:這下又要開始熬夜加班了。

這可能是curl&libcurl很長時間內(nèi)最嚴(yán)重漏洞

之所以在10月11日之前嚴(yán)格保密,是因為作者認(rèn)為CVE-2023-38545漏洞的危險性極高,在 libcurl 官網(wǎng)首頁也給了明顯的提醒,如下圖所示:

作者在發(fā)文時也表示,這個漏洞可能是curl&libcurl在相當(dāng)長一段時間內(nèi)最嚴(yán)重的漏洞,因此不能公布更多的細(xì)節(jié),防止該漏洞被攻擊者利用,唯一可以知道的就是“最近幾年內(nèi)發(fā)布的版本都會受到該漏洞影響”。目前在CVE官網(wǎng),這兩個漏洞也處于保密狀態(tài),只能看到漏洞編號,無法查詢更詳細(xì)的信息。

由于目前漏洞細(xì)節(jié)并未公開,建議可以提前排查使用到了curl/libcurl的業(yè)務(wù),在相關(guān)漏洞細(xì)節(jié)公開后進(jìn)一步根據(jù)具體的利用條件排查和修復(fù)。

Tanium 公司的端點安全研究總監(jiān) Melissa Bischoping 表示,curl 作為獨立工具和其它軟件的組成部分均得到廣泛應(yīng)用。curl 的廣泛使用意味著組織機(jī)構(gòu)應(yīng)當(dāng)趁此擴(kuò)展其環(huán)境。雖然該漏洞可能并不影響所有的curl的版本,但鑒于該首席開發(fā)人員給出的提前通知,以及它可能具有的廣泛影響,那么對于安全人員來說,即使最終并沒有那么嚴(yán)重,但將其作為重大事件進(jìn)行規(guī)劃是穩(wěn)妥做法。

curl是什么,為什么漏洞影響非常大?

根據(jù)公開信息,curl(客戶端URL)是一個開放源代碼的命令行工具,誕生于20世紀(jì)90年底末期,用于在服務(wù)器之間傳輸數(shù)據(jù),并分發(fā)給幾乎所有新的操作系統(tǒng)。curl編程用于需要通過Internet協(xié)議發(fā)送或接收數(shù)據(jù)的幾乎任何地方。

curl支持幾乎所有的互聯(lián)網(wǎng)協(xié)議(DICT,F(xiàn)ILE,F(xiàn)TP,F(xiàn)TPS,GOPHER,HTTP,HTTPS,IMAP,IMAPS,LDAP,LDAPS,MQTT,POP3,POP3S,RTMP,RTMPS,RTSP,SCP,SFTP,SMB,SMBS,SMTP ,SMTPS,TELNET和TFTP)。

換句話說,curl無處不在,可以隱藏在各種數(shù)據(jù)傳輸?shù)脑O(shè)備中。

curl旨在通過互聯(lián)網(wǎng)協(xié)議傳輸數(shù)據(jù)。其他所有內(nèi)容均不在其范圍內(nèi)。它甚至不處理傳輸?shù)臄?shù)據(jù),僅執(zhí)行傳輸流程。curl可用于調(diào)試。例如使用“ curl -v https://oxylabs.io ”可以顯示一個連接請求的詳細(xì)輸出,包括用戶代理,握手?jǐn)?shù)據(jù),端口等詳細(xì)信息。

如果僅僅是curl存在漏洞,問題也許還沒那么嚴(yán)重,關(guān)鍵是libcurl底層庫同樣受到該漏洞的影響。

事實上,libcurl 被廣泛應(yīng)用于各種軟件和項目中,使得開發(fā)者能夠在其應(yīng)用程序中進(jìn)行網(wǎng)絡(luò)交互。即使沒有直接引用,但也很可能使用了部分中間件,因此同樣會受到影響。從這個角度來看,該漏洞的影響面會非常廣,各位網(wǎng)安人可以加班干起來了。


網(wǎng)站標(biāo)題:準(zhǔn)備熬夜加班?curl&libcurl高危漏洞明日公布
文章地址:http://www.dlmjj.cn/article/cdihgeh.html