دو تا آسیب پذیری که یکیش با شدت بالا گزارش شده، cURL و کتابخونه libcurl رو تحت تاثیر قرار میده و قراره 11 اکتبر، نسخه اصلاحیه براش منتشر بشه.
cURL هم بصورت کتابخونه libcurl و هم بصورت خط فرمان curl ، ارائه میشه و کارش انتقال داده ها با سینتکس URL هستش که از پروتکلهای مختلفی مانند : SSL ، TLS، HTTP، FTP ، SMTP و … پشتیبانی میکنه.
دو تا آسیب پذیری که قراره اصلاح بشن، CVE-2023-38545 و CVE-2023-38546 هستن، که آسیب پذیری CVE-2023-38545 با شدت بالا گزارش شده و اعلام شده که یکی از آسیب پذیری های با شدت بالا در این ابزار هستش. آسیب پذیری CVE-2023-38546 هم با شدت کم گزارش شده.
قسمت بد ماجرا، تحت تاثیر قرار گرفتن کتابخونه libcurl هستش. چون این کتابخونه توسط برنامه های مختلف استفاده میشه و ممکنه ارائه دهنده اون برنامه ، نسخه بروزرسانی نده و باید خود کاربر بره و نسخه این کتابخونه رو بروز کنه.
نسخه اصلاح شده ، curl 8.4.0 هستش و قراره 11 اکتبر/19 مهر منتشر بشه.
جزییات زیادی از آسیب پذیری ها منتشر نشده، اما اعلام شده که همه نسخه هایی که در سالهای اخیر منتشر شدن، تحت تاثیر آسیب پذیری هستن.
این هشدار رو قبل از ارائه بروزرسانی دادن ، تا سازمانها و شرکتها از شدت آسیب پذیری مطلع بشن و بتونن در اسرع وقت اونو اصلاح کنن.
Saeed Abbasi ، مدیر محصول Qualys، توصیه کرده ،سازمانها و شرکتها، ابزارها و پلتفرمهایی که از curl و libcurl استفاده میکنن رو اسکن و شناسایی کنن، تا به محض ارائه نسخه جدید، بتونن اصلاحش کنن و تحت تاثیر آسیب پذیری قرار نگیرن.
همه ابزارهایی که از libcurl استفاده میکنن، تحت تاثیر هستن، البته بسته به ابزار داره که ممکنه جلوی اکسپلویت رو بگیره، اما توصیه شده، نسخه اصلاح شده رو اعمال کنید.