Des failles de sécurité dans Curl ?

Il s’agit d’une faille de haute gravité et d’une faille de faible gravité répertoriées sous les identifiants CVE-2023-38545 et CVE-2023-38546, respectivement. D’autres détails concernant les problèmes et les gammes de versions exactes touchées n’ont pas été divulgués, car les informations pourraient être utilisées pour « aider à identifier le problème (zone) avec une très grande précision ». Cela dit, les versions de la bibliothèque datant de « plusieurs années » seraient concernées.

« Bien sûr, il y a un risque minuscule que quelqu’un trouve (à nouveau) ce problème avant que nous n’envoyions le correctif, mais ce problème n’a pas été détecté pendant des années pour une bonne raison », a déclaré Daniel Stenberg, le développeur principal du projet, dans un message posté sur GitHub.

Curl, basé sur libcurl, est un outil de ligne de commande populaire pour le transfert de données spécifiées avec la syntaxe URL. Il prend en charge un large éventail de protocoles tels que FTP(S), HTTP(S), IMAP(S), LDAP(S), MQTT, POP3, RTMP(S), SCP, SFTP, SMB(S), SMTP(S), TELNET, WS et WSS. Alors que 2023-38545 affecte à la fois libcurl et curl, CVE-2023-38546 n’affecte que libcurl.

« Les détails de la gamme de versions n’ont pas été divulgués afin d’empêcher l’identification des problèmes avant la sortie de la version, mais les vulnérabilités seront corrigées dans la version 8.4.0 de curl », a déclaré Saeed Abbasi, chef de produit à l’unité de recherche sur les menaces (TRU) de Qualys. « Les organisations devraient inventorier et analyser de toute urgence tous les systèmes utilisant curl et libcurl afin d’identifier les versions potentiellement vulnérables une fois que les détails seront divulgués avec la publication de Curl 8.4.0 le 11 octobre. »