广泛使用的Curl项目是一个命令行工具和库,用于通过各种协议传输数据,它正准备尽早推出Curl 8.4,以解决一个特别严重的漏洞。
关于这个新的Curl库漏洞的细节尚不清楚,因为它在10月11日星期三之前仍处于禁运状态。然而,Curl首席开发人员Daniel Stenberg的这则通知揭示了它的打击尤其严重:
“我们缩短了发布周期,将于10月11日发布curl 8.4.0,包括严重性高CVE和严重性低的修复。评级高的可能是长期以来最严重的curl安全缺陷…CVE-2023-38545:严重性高(影响libcurl和curl工具)…我不能透露任何关于受影响的版本范围的信息,因为这将有助于以非常高的准确性识别问题(区域),所以我不能提前这样做。“最后几年”的版本是我所能得到的最具体的版本。“
简短的披露是
张贴
几天前,为10月11日发布的Curl 8.4做准备。
With all Curl versions of the past few years being impacted and Stenberg himself calling it "probably the worst curl security flaw in a long time", it sounds like it will be a particularly hard-hitting vulnerability in the libcurl library and command-line tool.
