Бесплатно Экспресс-аудит сайта:

10.10.2023

Сurl предупреждает о выходе экстренного патча, который может затронуть миллионы систем

Разработчики популярной open-source утилиты curl опубликовали предупреждение о двух уязвимостях, которые будут официально раскрыты на следующей неделе.

Curl (client URL) широко используется разработчиками и системными администраторами для работы с API , загрузки файлов и автоматизации различных задач. Этот инструмент лежит в основе многих важных сетевых протоколов, таких как SSL, TLS, HTTP, FTP и SMTP.

Согласно заявлению на платформе GitHub , 11 октября будет выпущено обновление, которое устранит баг высокой степени опасности — CVE-2023-38545 и незначительную проблему — CVE-2023-38546.

Первая уязвимость затрагивает как сам curl, так и библиотеку libcurl, которая играет важную роль в передаче файлов. Вторая проблема касается только libcurl.

Один из разработчиков охарактеризовал CVE-2023-38545 как «вероятно, самый серьезный дефект curl за долгое время». При этом конкретные детали пока не разглашаются в целях безопасности.

«Я не могу раскрыть никакой информации о диапазоне версий, которые находятся под угрозой, поскольку это поможет потенциальным злоумышленникам определить проблемные области с высокой точностью. Все, что я могу сказать – это версии последних нескольких лет». – говорит он.

По словам специалиста по кибербезопасности Мелиссы Бишопинг, curl является как отдельной утилитой, так и частью других процессов. Организациям следует оценить масштаб использования инструмента в своей инфраструктуре заранее, чтобы подготовиться к обновлению.

Исследователь Саид Аббаси в своем блоге объясняет, что библиотека libcurl позволяет разработчикам интегрировать в свои продукты функции надежной передачи данных и взаимодействия с веб-сервисами. Это делает ее критически важным компонентом для разработки современных веб-ориентированных приложений и облачных систем. Даже незначительные дефекты могут представлять большую опасность.

Другие эксперты подчеркивают: если бы компаниям предоставлялись подробные отчеты о структуре и принципах работы их ПО, это существенно облегчило бы поиск и устранение уязвимостей.

Однако проблема безопасности ПО в целом остаётся крайне сложной и требует пристального внимания со стороны всей IT-индустрии, включая разработчиков, поставщиков и потребителей.