赶紧排查!libcurl高危漏洞来了!
昨天,有人发了一张图片,内容是业界大佬tk教主的微博:
看样子,是又有软件暴漏洞了,这次轮到了libcurl这个库。
漏洞经常有,但能让tk教主单独发微博关注的漏洞,想必不是等闲之辈。
仔细看这张图片,内容是libcurl和curl工具的主要作者daniel stenberg(twitter名为@bagder)发布的一则twitter:
他们即将在本周三(10月11日)发布curl的8.4.0版本,其中包含修复两个漏洞,其中一个高危,一个低危。
并且给出了这两个漏洞的cve编号:
cve-2023-38545
cve-2023-38546
但注意,在curl新版本发布之前,关于这两个漏洞的信息,作者半个字都不会说。他的twitter中写的很清楚,甚至连这两个漏洞影响哪些版本都不会透露,防止大家根据这点信息去比较版本更新历史,找到这两个漏洞。
大家可以去cve漏洞管理网站的官网,可以看到这两个漏洞目标处于编号被保留状态,但漏洞细节没有说明。
之所以要这么保密,是因为作者强调了,这可能是很长一段时间以来libcurl最糟糕的漏洞,虽然没有进一步信息,但我琢磨着事情肯定是很严重的,不然不会这么高调宣布,连libcurl官网一进去就是醒目的提醒:
curl大家应该很熟悉,这是一个命令行工具和库,用于在网络上获取或发送数据。它支持非常多的协议,包括 http、https、ftp、ftps、sftp、ldap、smtp、pop3、imap、rtsp、rtmp等。
curl 常常被用于:
web 页面的下载:可以用来从任何 http/https 服务器下载页面。
api 测试和交互:开发者常用它来手动测试 restful 或其他类型的 api。
数据传输:通过 ftp 或其他协议上传和下载文件。
模拟网络操作:可以自定义请求的各个部分,如 http 方法、headers、cookies 等。
web 页面的上传:例如,通过 http post 上传表单数据。
验证和测试:检查和测试 ssl 证书、跟踪 http 重定向等。
curl还提供了大量的选项和特性,使其成为网络操作的强大工具。
如果仅仅是curl暴漏洞也不是什么大事,最关键的是,它的底层库 libcurl 被广泛应用于各种软件和项目中,使得开发者能够在其应用程序中进行网络交互。
轩辕之前做c/c++开发中,就经常用到这个库。即便你没有直接引用,但你用到的一些中间件中,也很有可能间接用到了这个库,这样算下来,其影响面就非常广了。
这次盲猜一波难不成是rce远程代码执行?真要是这个那可就刺激了,其能量可能不亚于当初的log4j核弹级漏洞。
各位程序员和运维同学,准备好第一时间升级更新打补丁吧。
WLAN+RFID组合系统的应用方案详解
手机零组件热销是假象 OEM重复下单
高性能全固态锂电池接口设计
基于区块链投资比特币赚钱的三条路径
小米公布Max 3发布时间:7月19日
赶紧排查!libcurl高危漏洞来了!
2018年人工智能在商业应用场景中的3大趋势
站在3.0时代的起点:激战工业物联网未来
还在为数据库迁移烦恼?五种高效方案帮你解决!
比亚迪第一!超越特斯拉
重磅!大眼夹化身「PPT小助手」入职OfficePLUS,PPT进入智能时代
农业仪器该如何分类,农业检测仪器的作用是什么
以ARM处理器S3C2440A为核心的嵌入式无线实时图像传输系统设计
Acrel-2000电力监控系统在变电所项目的应用
ATE-8601电源适配器自动测试系统
解密智能物流时代的未来:成本约束与需求升级的出路
罗德与施瓦茨在GCF认证的5G RedCap一致性测试用例数量上处于优势地位
配电系统组成及布置要求
遥感考古研究综述
深大医学院研发出了再生医学的生物3D打印技术
看样子,是又有软件暴漏洞了,这次轮到了libcurl这个库。
漏洞经常有,但能让tk教主单独发微博关注的漏洞,想必不是等闲之辈。
仔细看这张图片,内容是libcurl和curl工具的主要作者daniel stenberg(twitter名为@bagder)发布的一则twitter:
他们即将在本周三(10月11日)发布curl的8.4.0版本,其中包含修复两个漏洞,其中一个高危,一个低危。
并且给出了这两个漏洞的cve编号:
cve-2023-38545
cve-2023-38546
但注意,在curl新版本发布之前,关于这两个漏洞的信息,作者半个字都不会说。他的twitter中写的很清楚,甚至连这两个漏洞影响哪些版本都不会透露,防止大家根据这点信息去比较版本更新历史,找到这两个漏洞。
大家可以去cve漏洞管理网站的官网,可以看到这两个漏洞目标处于编号被保留状态,但漏洞细节没有说明。
之所以要这么保密,是因为作者强调了,这可能是很长一段时间以来libcurl最糟糕的漏洞,虽然没有进一步信息,但我琢磨着事情肯定是很严重的,不然不会这么高调宣布,连libcurl官网一进去就是醒目的提醒:
curl大家应该很熟悉,这是一个命令行工具和库,用于在网络上获取或发送数据。它支持非常多的协议,包括 http、https、ftp、ftps、sftp、ldap、smtp、pop3、imap、rtsp、rtmp等。
curl 常常被用于:
web 页面的下载:可以用来从任何 http/https 服务器下载页面。
api 测试和交互:开发者常用它来手动测试 restful 或其他类型的 api。
数据传输:通过 ftp 或其他协议上传和下载文件。
模拟网络操作:可以自定义请求的各个部分,如 http 方法、headers、cookies 等。
web 页面的上传:例如,通过 http post 上传表单数据。
验证和测试:检查和测试 ssl 证书、跟踪 http 重定向等。
curl还提供了大量的选项和特性,使其成为网络操作的强大工具。
如果仅仅是curl暴漏洞也不是什么大事,最关键的是,它的底层库 libcurl 被广泛应用于各种软件和项目中,使得开发者能够在其应用程序中进行网络交互。
轩辕之前做c/c++开发中,就经常用到这个库。即便你没有直接引用,但你用到的一些中间件中,也很有可能间接用到了这个库,这样算下来,其影响面就非常广了。
这次盲猜一波难不成是rce远程代码执行?真要是这个那可就刺激了,其能量可能不亚于当初的log4j核弹级漏洞。
各位程序员和运维同学,准备好第一时间升级更新打补丁吧。
WLAN+RFID组合系统的应用方案详解
手机零组件热销是假象 OEM重复下单
高性能全固态锂电池接口设计
基于区块链投资比特币赚钱的三条路径
小米公布Max 3发布时间:7月19日
赶紧排查!libcurl高危漏洞来了!
2018年人工智能在商业应用场景中的3大趋势
站在3.0时代的起点:激战工业物联网未来
还在为数据库迁移烦恼?五种高效方案帮你解决!
比亚迪第一!超越特斯拉
重磅!大眼夹化身「PPT小助手」入职OfficePLUS,PPT进入智能时代
农业仪器该如何分类,农业检测仪器的作用是什么
以ARM处理器S3C2440A为核心的嵌入式无线实时图像传输系统设计
Acrel-2000电力监控系统在变电所项目的应用
ATE-8601电源适配器自动测试系统
解密智能物流时代的未来:成本约束与需求升级的出路
罗德与施瓦茨在GCF认证的5G RedCap一致性测试用例数量上处于优势地位
配电系统组成及布置要求
遥感考古研究综述
深大医学院研发出了再生医学的生物3D打印技术