今日,针对Curl爆出的两个高危漏洞(CVE-2023- 38545、 CVE-2023-38546),安天攻防实验室对其进行分析跟进,提供检测方法和加固方法,安天将持续对该漏洞进行利用监测,提取相关特征,进行研究和监测。 01 漏洞背景 Curl是一个网络数据传输项目,通常说Curl是指Curl命令行工具,它支持DICT、FILE、FTP、FTPS、Gopher、HTTP、HTT...
IT之家 10 月 14 日消息,命令行工具 curl 近日曝出两个漏洞,追踪编号分别为 CVE-2023-38545 和 CVE-2023-38546,其中前者漏洞等级为“关键”,其破坏力不亚于 Log4j。CVE-2023-38545,一个影响 libcurl 库和 curl 工具的高严重性漏洞;CVE-2023-38546,一个低严重性漏洞,仅影响 libcurl。旧版 libcurl 库...
今日,针对Curl爆出的两个高危漏洞(CVE-2023- 38545、 CVE-2023-38546),安天攻防实验室对其进行分析跟进,提供检测方法和加固方法,安天将持续对该漏洞进行利用监测,提取相关特征,进行研究和监测。 01 漏洞背景 Curl是一个网络数据传输项目,通常说Curl是指Curl命令行工具,它支持DICT、FILE、FTP、FTPS、Gopher、HTTP、HTT...
curl 作者 Daniel Stenberg 近日在个人博客分享了一个存在 23.9 年的 curl 漏洞。curl 是常用的命令行工具,用来请求 Web 服务器,于 1997 年首次发行。 据Stenberg 透露,这个漏洞是在 curl 发布后的第 201 天引入的,但是直到第 8930 天,漏洞才修复好。一个持续了 23.9 年的漏洞背后有着怎样的故事? 一切还得...
Curl命令行工具作者bagder于10月11日06:00UTC发布8.4.0版本Curl,该版本Curl修复CVE-2023-38545、CVE-2023-38546两漏洞,由于该漏洞基于libcurl存在,影响范围巨大。同时发布者也确认,依赖libcurl的pycurl等同样受到影响。图片引用自github https://github.com/curl/curl/discussions/12026 ...
curl 作者 Daniel Stenberg 近日在个人博客分享了一个存在 23.9 年的 curl 漏洞。curl 是常用的命令行工具,用来请求 Web 服务器,于 1997 年首次发行。 据Stenberg 透露,这个漏洞是在 curl 发布后的第 201 天引入的,但是直到第 8930 天,漏洞才修复好。一个持续了 23.9 年的漏洞背后有着怎样的故事?
Sonatype安全研究员Ax Sharma表示,curl曝出的高严重性漏洞远没有Log4j棘手。因为大多数情况下curl作为命令行程序使用,与操作系统软件包一同分发并作为系统级服务工具提供,这意味着正常的操作系统更新应该能自动处理这个问题。“它与Log4j非常不同,Log4j作为依赖项嵌入,更加底层且没有直接更新功能。”Sharma说道。参考...
最近在流行的 curl 命令行工具和库中发现的一个漏洞(被跟踪为 CVE-2024-11053,CVSS 得分为 9.1)可能会导致用户凭据意外暴露。该漏洞源于使用 .netrc 文件存储凭据与 curl 处理 HTTP 重定向之间的交互作用。 在特定情况下,当 curl 被配置为使用 .netrc 文件并跟踪重定向时,它可能会无意中将初始主机的密码泄漏给...
IT之家 10 月 14 日消息,命令行工具curl 近日曝出两个漏洞,追踪编号分别为 CVE-2023-38545 和 CVE-2023-38546,其中前者漏洞等级为“关键”,其破坏力不亚于 Log4j。 CVE-2023-38545,一个影响 libcurl 库和 curl 工具的高严重性漏洞; CVE-2023-38546,一个低严重性漏洞,仅影响 libcurl。