Carding 4 Carders
Professional
Разработчики библиотеки Curl выпустили консультативное предупреждение о двух предстоящих уязвимостях в системе безопасности, которые, как ожидается, будут устранены в рамках обновлений, выпущенных 11 октября 2023 года.
Оно включает ошибку высокой и низкой серьезности, отслеживаемую под идентификаторами CVE-2023-38545 и CVE-2023-38546 соответственно.
Дополнительные сведения о проблемах и точных диапазонах версий, на которые повлияли изменения, были утаены из-за возможности того, что информация может быть использована для "помощи в идентификации проблемы (области) с очень высокой точностью".
При этом, как утверждается, затронуты версии библиотеки "последних нескольких лет".
"Конечно, существует незначительный риск того, что кто-то может обнаружить это (снова) до того, как мы отправим исправление, но эта проблема не просто так годами оставалась незамеченной", - сказал Дэниел Стенберг, ведущий разработчик проекта, в сообщении, размещенном на GitHub.
Curl, работающий на libcurl, является популярным инструментом командной строки для передачи данных, указанных с помощью синтаксиса URL. Оно поддерживает широкий спектр протоколов, таких как FTP (ы), HTTP (ы), IMAP (Ы), LDAP (Ы), MQTT, POP3, RTMP (Ы), SCP, SFTP, SMB (Ы), SMTP (Ы), TELNET, WS и WSS.
В то время как 2023-38545 затрагивает как libcurl, так и curl, CVE-2023-38546 затрагивает только libcurl.
"Поскольку конкретные сведения о диапазоне версий не разглашаются, чтобы предотвратить выявление проблем перед выпуском, уязвимости будут исправлены в curl версии 8.4.0", - сказал Саид Аббаси, менеджер по продуктам Qualys Threat Research Unit (TRU).
"Организациям следует срочно провести инвентаризацию и сканирование всех систем, использующих curl и libcurl, ожидая выявления потенциально уязвимых версий, как только подробности будут раскрыты с выпуском Curl 8.4.0 11 октября".
Оно включает ошибку высокой и низкой серьезности, отслеживаемую под идентификаторами CVE-2023-38545 и CVE-2023-38546 соответственно.
Дополнительные сведения о проблемах и точных диапазонах версий, на которые повлияли изменения, были утаены из-за возможности того, что информация может быть использована для "помощи в идентификации проблемы (области) с очень высокой точностью".
При этом, как утверждается, затронуты версии библиотеки "последних нескольких лет".
"Конечно, существует незначительный риск того, что кто-то может обнаружить это (снова) до того, как мы отправим исправление, но эта проблема не просто так годами оставалась незамеченной", - сказал Дэниел Стенберг, ведущий разработчик проекта, в сообщении, размещенном на GitHub.
Curl, работающий на libcurl, является популярным инструментом командной строки для передачи данных, указанных с помощью синтаксиса URL. Оно поддерживает широкий спектр протоколов, таких как FTP (ы), HTTP (ы), IMAP (Ы), LDAP (Ы), MQTT, POP3, RTMP (Ы), SCP, SFTP, SMB (Ы), SMTP (Ы), TELNET, WS и WSS.
В то время как 2023-38545 затрагивает как libcurl, так и curl, CVE-2023-38546 затрагивает только libcurl.
"Поскольку конкретные сведения о диапазоне версий не разглашаются, чтобы предотвратить выявление проблем перед выпуском, уязвимости будут исправлены в curl версии 8.4.0", - сказал Саид Аббаси, менеджер по продуктам Qualys Threat Research Unit (TRU).
"Организациям следует срочно провести инвентаризацию и сканирование всех систем, использующих curl и libcurl, ожидая выявления потенциально уязвимых версий, как только подробности будут раскрыты с выпуском Curl 8.4.0 11 октября".