0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

赶紧排查!libcurl高危漏洞来了!

Linux爱好者 来源:Linux爱好者 2023-10-11 16:53 次阅读

昨天,有人发了一张图片,内容是业界大佬TK教主的微博:

e3c3b492-680e-11ee-939d-92fbcf53809c.png

看样子,是又有软件暴漏洞了,这次轮到了libcurl这个库。

漏洞经常有,但能让TK教主单独发微博关注的漏洞,想必不是等闲之辈。

仔细看这张图片,内容是libcurl和curl工具的主要作者Daniel Stenberg(twitter名为@bagder)发布的一则twitter:

他们即将在本周三(10月11日)发布curl的8.4.0版本,其中包含修复两个漏洞,其中一个高危,一个低危。

并且给出了这两个漏洞的CVE编号:

CVE-2023-38545

CVE-2023-38546

但注意,在curl新版本发布之前,关于这两个漏洞的信息,作者半个字都不会说。他的twitter中写的很清楚,甚至连这两个漏洞影响哪些版本都不会透露,防止大家根据这点信息去比较版本更新历史,找到这两个漏洞。

大家可以去CVE漏洞管理网站的官网,可以看到这两个漏洞目标处于编号被保留状态,但漏洞细节没有说明。

e3cfb7ba-680e-11ee-939d-92fbcf53809c.png

之所以要这么保密,是因为作者强调了,这可能是很长一段时间以来libcurl最糟糕的漏洞,虽然没有进一步信息,但我琢磨着事情肯定是很严重的,不然不会这么高调宣布,连libcurl官网一进去就是醒目的提醒:

e3e2d656-680e-11ee-939d-92fbcf53809c.png

curl大家应该很熟悉,这是一个命令行工具和库,用于在网络上获取或发送数据。它支持非常多的协议,包括 HTTP、HTTPS、FTP、FTPS、SFTP、LDAP、SMTP、POP3、IMAP、RTSP、RTMP等。

curl 常常被用于:

Web 页面的下载:可以用来从任何 HTTP/HTTPS 服务器下载页面。

API 测试和交互:开发者常用它来手动测试 RESTful 或其他类型的 API。

数据传输:通过 FTP 或其他协议上传和下载文件。

模拟网络操作:可以自定义请求的各个部分,如 HTTP 方法、headers、cookies 等。

Web 页面的上传:例如,通过 HTTP POST 上传表单数据。

验证和测试:检查和测试 SSL 证书、跟踪 HTTP 重定向等。

curl还提供了大量的选项和特性,使其成为网络操作的强大工具。

如果仅仅是curl暴漏洞也不是什么大事,最关键的是,它的底层库 libcurl 被广泛应用于各种软件和项目中,使得开发者能够在其应用程序中进行网络交互。

轩辕之前做C/C++开发中,就经常用到这个库。即便你没有直接引用,但你用到的一些中间件中,也很有可能间接用到了这个库,这样算下来,其影响面就非常广了。

这次盲猜一波难不成是RCE远程代码执行?真要是这个那可就刺激了,其能量可能不亚于当初的log4j核弹级漏洞。

各位程序员和运维同学,准备好第一时间升级更新打补丁吧。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 数据传输
    +关注

    关注

    9

    文章

    1880

    浏览量

    64559
  • 软件
    +关注

    关注

    69

    文章

    4921

    浏览量

    87403
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15366

原文标题:赶紧排查!libcurl 高危漏洞来了!

文章出处:【微信号:LinuxHub,微信公众号:Linux爱好者】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    大核桃防爆气体检测终端确保高危气体场景“零事故、零伤害”的安全目标

    在现代工业生产中,高危气体场景的安全问题始终是社会关注的焦点。从石油化工到煤矿开采,从燃气供应到实验室研究,这些领域无不充斥着易燃、易爆、有毒有害等高风险气体。为了确保人员生命财产安全,实现“零事故
    的头像 发表于 12-11 15:39 67次阅读
    大核桃防爆气体检测终端确保<b class='flag-5'>高危</b>气体场景“零事故、零伤害”的安全目标

    常见的漏洞分享

    #SPF邮件伪造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 发现spf最后面跟着~all,代表有
    的头像 发表于 11-21 15:39 95次阅读
    常见的<b class='flag-5'>漏洞</b>分享

    漏洞扫描一般采用的技术是什么

    漏洞扫描是一种安全实践,用于识别计算机系统、网络或应用程序中的安全漏洞。以下是一些常见的漏洞扫描技术: 自动化漏洞扫描 : 网络扫描 :使用自动化工具扫描网络中的设备,以识别开放的端口
    的头像 发表于 09-25 10:27 351次阅读

    漏洞扫描的主要功能是什么

    漏洞扫描是一种网络安全技术,用于识别计算机系统、网络或应用程序中的安全漏洞。这些漏洞可能被恶意用户利用来获取未授权访问、数据泄露或其他形式的攻击。漏洞扫描的主要功能是帮助组织及时发现并
    的头像 发表于 09-25 10:25 391次阅读

    揭秘:顶坚5G防爆手机如何为高危环境的安全作业保驾护航

    随着科技的飞速发展,我们对于安全的关注度也越来越高。特别是在那些充满潜在危险的高危环境中,每一个细节、每一项技术革新都关乎着人们的生命安全。今天,我们要重点介绍的,便是顶坚5G防爆手机如何以其独特
    的头像 发表于 09-20 09:59 300次阅读
    揭秘:顶坚5G防爆手机如何为<b class='flag-5'>高危</b>环境的安全作业保驾护航

    光纤故障怎么排查

    光纤故障的排查是一个细致且系统的过程,涉及多个方面的检查和测试。以下是一系列光纤故障排查的步骤和方法: 一、初步检查 确认物理连接:首先检查光纤网络的物理连接是否正常,包括光纤端口是否正确连接到设备
    的头像 发表于 08-20 10:25 974次阅读

    内核程序漏洞介绍

    电子发烧友网站提供《内核程序漏洞介绍.pdf》资料免费下载
    发表于 08-12 09:38 0次下载

    BIG WALNUT大核桃防爆手机在石油、化工等高危行业的应用价值

    在石油、化工等高危行业中,安全始终是首要考虑的因素。随着科技的不断发展,防爆手机作为一种特殊的通讯工具,逐渐在这些行业中崭露头角。其中,BIGWALNUT大核桃防爆手机凭借其卓越的性能和安全性
    的头像 发表于 07-15 16:49 234次阅读
    BIG WALNUT大核桃防爆手机在石油、化工等<b class='flag-5'>高危</b>行业的应用价值

    国产贴片机SMT故障排查与预防

    ,对于保障生产线的稳定运行具有至关重要的意义。下面常衡机电就跟大家探讨一下SMT故障排查与预防措施,感兴趣的朋友们一起来了解一下吧。 当国产贴片机出现故障时,快速而准确的故障排查至关重要。首先,操作人员需要仔细检查设备
    的头像 发表于 06-03 09:29 442次阅读

    电缆故障排查技术案例笔记

    电缆故障排查技术案例笔记
    的头像 发表于 05-20 17:03 577次阅读
    电缆故障<b class='flag-5'>排查</b>技术案例笔记

    英特尔修补90项漏洞,其中包括Neural Compressor高危缺陷

    本次披露的问题主要集中在软件层面,神经压缩机中的一个漏洞被评为CVSS10.0的“满点”分数,具有远程提权和实施任意攻击的能力。
    的头像 发表于 05-16 14:56 630次阅读

    GitHub存在高危漏洞,黑客可利用进行恶意软件分发

    据悉,该漏洞允许用户在不存在的GitHub评论中上传文件并创建下载链接,包括仓库名和所有者信息。这种伪装可能使受害者误以为文件为合法资源。
    的头像 发表于 04-23 14:36 701次阅读

    HTTP / 2 协议存高危漏洞,可能引发拒绝服务攻击

    漏洞围绕着HTTP/2的配置缺陷展开,重点在于未能合理控制或者消除请求数据流中的CONTINUATION帧内容。这是一种延续报头块片段序列的技术,使得报头块能够拆分到不同的帧中。
    的头像 发表于 04-08 15:37 662次阅读

    SWD端口无法连接如何排查

    大家在调试GD32 MCU的时候是否也碰到过SWD调试端口无法连接的情况?SWD端口无法连接的原因有很多,有时候排查没有思路,可能会耽误大家的时间,下面小编为大家介绍常见的SWD无法连接的原因,供大家排查参考
    的头像 发表于 01-10 10:46 2166次阅读
    SWD端口无法连接如何<b class='flag-5'>排查</b>

    DC电源模块的故障排查与维修技巧

    BOSHIDA  DC电源模块的故障排查与维修技巧 故障排查与维修技巧: DC电源模块的故障排查与维修技巧 1. 检查电源线连接:首先检查电源线是否正确连接到电源模块和电源插座。确保插头牢固接触,并
    的头像 发表于 01-09 15:08 1014次阅读
    DC电源模块的故障<b class='flag-5'>排查</b>与维修技巧