Os mantenedores do projeto de transferência de dados cURL estão trabalhando para corrigir duas vulnerabilidades no software, incluindo um bug de alta gravidade que afeta tanto o libcurl quanto o curl.
cURL fornece uma biblioteca (libcurl) e uma ferramenta de linha de comando (curl) para transferência de dados com sintaxe de URL, suportando vários protocolos de rede, incluindo SSL, TLS, HTTP, FTP, SMTP e muito mais.
Os dois problemas são rastreados como CVE-2023-38545 e CVE-2023-38546, e os mantenedores alertam que o primeiro tem uma classificação de ‘alta gravidade’ e pode ser considerado uma das falhas mais graves na ferramenta de código aberto.
“Estamos encurtando o ciclo de lançamento e lançaremos o curl 8.4.0 em 11 de outubro, incluindo correções para um CVE de severidade ALTA e uma severidade BAIXA. Aquela classificada como ALTA é provavelmente a pior falha de segurança curl em muito tempo”, observam os mantenedores em um aviso.
Detalhes sobre a vulnerabilidade em si e sobre as versões curl afetadas ainda não foram divulgados, mas os mantenedores dizem que todas as iterações lançadas nos “últimos anos” são vulneráveis.
O comunicado foi publicado antes dos patches para alertar as organizações sobre a gravidade do bug, para que possam se preparar para as próximas atualizações. As distribuições membros também foram notificadas, para que possam preparar patches.
“Ninguém mais obtém detalhes sobre esses problemas antes de 11 de outubro sem um contrato de suporte e um bom motivo”, dizem os mantenedores do curl.
“As organizações devem inventariar e verificar urgentemente todos os sistemas que utilizam curl e libcurl, antecipando a identificação de versões potencialmente vulneráveis assim que os detalhes forem divulgados com o lançamento do Curl 8.4.0 em 11 de outubro. ”Gerente de produto Qualys, Saeed Abbasi aponta.
De acordo com os mantenedores do curl, a vulnerabilidade afeta potencialmente todos os projetos que dependem do libcurl, embora alguns softwares possam usá-lo de uma forma que não permite a exploração.
“Atualizar a biblioteca compartilhada libcurl deve ser suficiente para corrigir esse problema em todos os sistemas operacionais”, apontam os mantenedores.
