帮助中心 > 问题列表 > curl / libcurl 安全漏洞预警

curl / libcurl 安全漏洞预警

漏洞:curl & libcurl 安全漏洞预警


漏洞编号:CVE-2023-38545、CVE-2023-38546 


威胁程度:高危


影响范围:7.69.0 到 8.3.0,触发条件是用了 SOCKS5


漏洞描述:

curl库是一个用于传输数据的流行命令行工具,支持多种协议,如FTP、HTTP、IMAP等。

该库的维护者发布了一个预警,称将在10月11日发布更新,修复两个已被利用的安全漏洞。

这两个漏洞分别被标记为CVE-2023-38545和CVE-2023-38546,严重程度分别为高和低。

由于担心泄露信息可能会帮助攻击者准确地识别出问题所在,维护者没有透露漏洞的具体细节和受影响的版本范围。

但据称,该库的近几年的版本都存在问题。

CVE-2023-38545影响了libcurl和curl,而CVE-2023-38546只影响了libcurl。

这些漏洞可能会导致远程代码执行、权限提升或信息泄露等风险。建议使用curl库的用户尽快更新到最新版本,以防止遭受攻击。


修复建议:升级至8.4.0


相关链接:

https://curl.se/docs/CVE-2023-38545.html

https://github.com/curl/curl/commit/4a4b63daaa


curl / libcurl介绍:

curl是一个利用URL语法在命令行下工作的文件传输工具,1997年首次发行。它支持文件上传和下载,所以是综合传输工具,但按传统,习惯称curl为下载工具。cURL还包含了用于程序开发的libcurl。

curl支持的通信协议有FTP、FTPS、HTTP、HTTPS、TFTP、SFTP、Gopher、SCP、Telnet、DICT、FILE、LDAP、LDAPS、IMAP、POP3、SMTP和RTSP。

curl还支持SSL认证、HTTP POST、HTTP PUT、FTP上传, HTTP form based upload、proxies、HTTP/2、cookies、用户名+密码认证(Basic, Plain, Digest, CRAM-MD5, NTLM, Negotiate and Kerberos)、file transfer resume、proxy tunneling。

libcurl是一个跨平台的网络协议库,支持http, https, ftp, gopher, telnet, dict, file, 和ldap 协议。libcurl同样支持HTTPS证书授权,HTTP POST, HTTP PUT, FTP 上传, HTTP基本表单上传,代理,cookies,和用户认证。

curl/libcurl 还广泛应用于以下方面:

1、GitHub中有2.6万个相关的开源项目,其中php、shell、JavaScript、Python、C/C++项目中使用较多;

2、具有网络传输功能的客户端应用程序,如办公套件LibreOffice、火狐浏览器等;

3、几乎所有的操作系统,如:Linux、Windows、macOS、iOS 和 Android等。