.
Inicie seus mecanismos de patch – uma nova versão do curl será lançada amanhã e corrigirá algumas falhas, uma das quais o desenvolvedor líder Daniel Stenberg descreve como “provavelmente a pior falha de segurança curl em muito tempo”.
Curl 8.4.0 chegará por volta das 06:00 UTC (0800 CEST, 0700 BST, 0200 EST, 2300 PDT) em 11 de outubro e lidará com CVE-2023-38545, que afeta tanto libcurl quanto a ferramenta curl, e CVE-2023-38546 , que afeta apenas libcurl.
A versão não tem alterações de API ou ABI, portanto, a atualização deve ocorrer sem muitos aborrecimentos.
CVE-2023-38545 é classificado como CVE de alta gravidade. Stenberg não divulgou nenhuma informação sobre nenhuma das falhas, exceto observar que o processo normal de desenvolvimento teve que ser interrompido para que as correções fossem lançadas o mais rápido possível.
curl é usado diariamente por praticamente todos os humanos que usam a Internet no mundo
Stenberg disse: “Não posso divulgar nenhuma informação sobre qual faixa de versão é afetada, pois isso ajudaria a identificar o problema (área) com uma precisão muito alta, por isso não posso fazer isso com antecedência.
“As versões dos ‘últimos anos’ são tão específicas quanto consigo.”
Curl é uma daquelas ferramentas que forma a espinha dorsal da Internet e é uma ferramenta de transferência de arquivos por linha de comando. De acordo com Para a equipe do projeto, o serviço é utilizado em linhas de comando e scripts para transferência de dados e é encontrado em diversos dispositivos conectados, de impressoras a carros. A equipe afirma que é “o mecanismo de transferência da Internet para milhares de aplicativos de software em mais de vinte bilhões de instalações”, acrescentando: “o curl é usado diariamente por praticamente todos os humanos que usam a Internet no mundo”.
Surgiu pela primeira vez em 1998, de acordo com para Stenberg, embora seus antecessores, urlget e httpget, remontem a 1996. Stenberg adotou o nome cURL porque “a palavra contém URL e já naquela época a ferramenta funcionava principalmente com URLs, e achei divertido torná-la parcialmente um verdadeiro palavra em inglês ‘curl’, mas também que você poderia pronunciá-la ‘ver URL’, pois a ferramenta exibiria o conteúdo de uma URL.”
Mais tarde, um backronym foi cunhado: “Curl URL Request Library”.
Uma solução urgente provavelmente não é o melhor presente de aniversário de 25 anos para a equipe curl, mas aqui estamos.
Axe Sharma, pesquisador de segurança da Sonatype, observou a preocupação em torno da vulnerabilidade e disse: “Este não é o Log4j recarregado, pois alguns estão pintando-o”.
Ele continuou: “A maior parte do uso do curl é como um utilitário de linha de comando, distribuído como um pacote de sistema operacional e usado como um provedor ou utilitário de serviço no nível do sistema, o que significa que as atualizações normais do sistema operacional devem cuidar disso automaticamente. É muito diferente de Log4j, que é incorporado como uma dependência, com muitas camadas de profundidade, sem capacidade de atualização direta.”
Dito isso, Sharma enfatizou que esta ainda é uma vulnerabilidade desagradável – que a classificação de gravidade ALTA é uma pista útil – e alertou: “A superfície de ataque mais provável que as pessoas devem observar quando se trata de vulnerabilidades são as imagens base do docker que não estão recebendo atualizações e que possuem um aplicativo que aproveita o vulnerável libcurl.”
Ele continuou: “No geral, a melhor coisa a fazer aqui é não entrar em pânico, mas instalar os pacotes corrigidos o mais rápido possível, e não se esqueça de que os contêineres também podem conter sistemas operacionais – portanto, mantenha-os em mente”.
Quanto a Stenberg, ele disse: “Agora você sabe. Planeje de acordo.” ®
.
