0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

赶紧排查!libcurl高危漏洞来了!

Linux爱好者 来源:Linux爱好者 2023-10-11 16:53 次阅读

昨天,有人发了一张图片,内容是业界大佬TK教主的微博:

e3c3b492-680e-11ee-939d-92fbcf53809c.png

看样子,是又有软件暴漏洞了,这次轮到了libcurl这个库。

漏洞经常有,但能让TK教主单独发微博关注的漏洞,想必不是等闲之辈。

仔细看这张图片,内容是libcurl和curl工具的主要作者Daniel Stenberg(twitter名为@bagder)发布的一则twitter:

他们即将在本周三(10月11日)发布curl的8.4.0版本,其中包含修复两个漏洞,其中一个高危,一个低危。

并且给出了这两个漏洞的CVE编号:

CVE-2023-38545

CVE-2023-38546

但注意,在curl新版本发布之前,关于这两个漏洞的信息,作者半个字都不会说。他的twitter中写的很清楚,甚至连这两个漏洞影响哪些版本都不会透露,防止大家根据这点信息去比较版本更新历史,找到这两个漏洞。

大家可以去CVE漏洞管理网站的官网,可以看到这两个漏洞目标处于编号被保留状态,但漏洞细节没有说明。

e3cfb7ba-680e-11ee-939d-92fbcf53809c.png

之所以要这么保密,是因为作者强调了,这可能是很长一段时间以来libcurl最糟糕的漏洞,虽然没有进一步信息,但我琢磨着事情肯定是很严重的,不然不会这么高调宣布,连libcurl官网一进去就是醒目的提醒:

e3e2d656-680e-11ee-939d-92fbcf53809c.png

curl大家应该很熟悉,这是一个命令行工具和库,用于在网络上获取或发送数据。它支持非常多的协议,包括 HTTP、HTTPS、FTP、FTPS、SFTP、LDAP、SMTP、POP3、IMAP、RTSP、RTMP等。

curl 常常被用于:

Web 页面的下载:可以用来从任何 HTTP/HTTPS 服务器下载页面。

API 测试和交互:开发者常用它来手动测试 RESTful 或其他类型的 API。

数据传输:通过 FTP 或其他协议上传和下载文件。

模拟网络操作:可以自定义请求的各个部分,如 HTTP 方法、headers、cookies 等。

Web 页面的上传:例如,通过 HTTP POST 上传表单数据。

验证和测试:检查和测试 SSL 证书、跟踪 HTTP 重定向等。

curl还提供了大量的选项和特性,使其成为网络操作的强大工具。

如果仅仅是curl暴漏洞也不是什么大事,最关键的是,它的底层库 libcurl 被广泛应用于各种软件和项目中,使得开发者能够在其应用程序中进行网络交互。

轩辕之前做C/C++开发中,就经常用到这个库。即便你没有直接引用,但你用到的一些中间件中,也很有可能间接用到了这个库,这样算下来,其影响面就非常广了。

这次盲猜一波难不成是RCE远程代码执行?真要是这个那可就刺激了,其能量可能不亚于当初的log4j核弹级漏洞。

各位程序员和运维同学,准备好第一时间升级更新打补丁吧。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 数据传输
    +关注

    关注

    9

    文章

    1965

    浏览量

    64913
  • 软件
    +关注

    关注

    69

    文章

    5038

    浏览量

    88222
  • 漏洞
    +关注

    关注

    0

    文章

    205

    浏览量

    15456

原文标题:赶紧排查!libcurl 高危漏洞来了!

文章出处:【微信号:LinuxHub,微信公众号:Linux爱好者】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    相关推荐

    机房精密空调故障?排查步骤看这!

    机房精密空调作为维持机房环境稳定的关键设备,其故障排查工作至关重要。下面聊一下排查机房精密空调故障的详细步骤。
    的头像 发表于 02-17 15:48 33次阅读
    机房精密空调故障?<b class='flag-5'>排查</b>步骤看这!

    微软Outlook曝高危安全漏洞

    近日,美国网络安全和基础设施安全局(CISA)发布了一项紧急安全公告,揭示了微软Outlook中存在的一个高危远程代码执行漏洞(CVE-2024-21413)。该漏洞的严重性不容忽视,已成为恶意网络
    的头像 发表于 02-10 09:17 178次阅读

    华为通过BSI全球首批漏洞管理体系认证

    近日,华为通过全球权威标准机构BSI漏洞管理体系认证,涵盖了ISO/IEC 27001信息安全管理、ISO/IEC 29147漏洞披露及ISO/IEC 30111漏洞处理流程三大国际标准。华为凭借其
    的头像 发表于 01-16 11:15 259次阅读
    华为通过BSI全球首批<b class='flag-5'>漏洞</b>管理体系认证

    常见的漏洞分享

    #SPF邮件伪造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 发现spf最后面跟着~all,代表有
    的头像 发表于 11-21 15:39 259次阅读
    常见的<b class='flag-5'>漏洞</b>分享

    漏洞扫描一般采用的技术是什么

    漏洞扫描是一种安全实践,用于识别计算机系统、网络或应用程序中的安全漏洞。以下是一些常见的漏洞扫描技术: 自动化漏洞扫描 : 网络扫描 :使用自动化工具扫描网络中的设备,以识别开放的端口
    的头像 发表于 09-25 10:27 495次阅读

    漏洞扫描的主要功能是什么

    漏洞扫描是一种网络安全技术,用于识别计算机系统、网络或应用程序中的安全漏洞。这些漏洞可能被恶意用户利用来获取未授权访问、数据泄露或其他形式的攻击。漏洞扫描的主要功能是帮助组织及时发现并
    的头像 发表于 09-25 10:25 550次阅读

    揭秘:顶坚5G防爆手机如何为高危环境的安全作业保驾护航

    随着科技的飞速发展,我们对于安全的关注度也越来越高。特别是在那些充满潜在危险的高危环境中,每一个细节、每一项技术革新都关乎着人们的生命安全。今天,我们要重点介绍的,便是顶坚5G防爆手机如何以其独特
    的头像 发表于 09-20 09:59 380次阅读
    揭秘:顶坚5G防爆手机如何为<b class='flag-5'>高危</b>环境的安全作业保驾护航

    光纤故障怎么排查

    光纤故障的排查是一个细致且系统的过程,涉及多个方面的检查和测试。以下是一系列光纤故障排查的步骤和方法: 一、初步检查 确认物理连接:首先检查光纤网络的物理连接是否正常,包括光纤端口是否正确连接到设备
    的头像 发表于 08-20 10:25 1413次阅读

    内核程序漏洞介绍

    电子发烧友网站提供《内核程序漏洞介绍.pdf》资料免费下载
    发表于 08-12 09:38 0次下载

    BIG WALNUT大核桃防爆手机在石油、化工等高危行业的应用价值

    在石油、化工等高危行业中,安全始终是首要考虑的因素。随着科技的不断发展,防爆手机作为一种特殊的通讯工具,逐渐在这些行业中崭露头角。其中,BIGWALNUT大核桃防爆手机凭借其卓越的性能和安全性
    的头像 发表于 07-15 16:49 292次阅读
    BIG WALNUT大核桃防爆手机在石油、化工等<b class='flag-5'>高危</b>行业的应用价值

    国产贴片机SMT故障排查与预防

    ,对于保障生产线的稳定运行具有至关重要的意义。下面常衡机电就跟大家探讨一下SMT故障排查与预防措施,感兴趣的朋友们一起来了解一下吧。 当国产贴片机出现故障时,快速而准确的故障排查至关重要。首先,操作人员需要仔细检查设备
    的头像 发表于 06-03 09:29 568次阅读

    电缆故障排查技术案例笔记

    电缆故障排查技术案例笔记
    的头像 发表于 05-20 17:03 675次阅读
    电缆故障<b class='flag-5'>排查</b>技术案例笔记

    英特尔修补90项漏洞,其中包括Neural Compressor高危缺陷

    本次披露的问题主要集中在软件层面,神经压缩机中的一个漏洞被评为CVSS10.0的“满点”分数,具有远程提权和实施任意攻击的能力。
    的头像 发表于 05-16 14:56 691次阅读

    GitHub存在高危漏洞,黑客可利用进行恶意软件分发

    据悉,该漏洞允许用户在不存在的GitHub评论中上传文件并创建下载链接,包括仓库名和所有者信息。这种伪装可能使受害者误以为文件为合法资源。
    的头像 发表于 04-23 14:36 794次阅读

    HTTP / 2 协议存高危漏洞,可能引发拒绝服务攻击

    漏洞围绕着HTTP/2的配置缺陷展开,重点在于未能合理控制或者消除请求数据流中的CONTINUATION帧内容。这是一种延续报头块片段序列的技术,使得报头块能够拆分到不同的帧中。
    的头像 发表于 04-08 15:37 761次阅读