注意!开源命令行工具Curl 中存在严重漏洞

最新推荐文章于 2023-10-13 13:09:24 发布
最新推荐文章于 2023-10-13 13:09:24 发布
阅读量803 收藏
点赞数
文章标签: 开源
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247517813&idx=1&sn=d93b115c2f34ccedd19200ec3263c342&chksm=ea94b71fdde33e0974bce7d6de4b942fca9a77a250a6426c544c4657b24a753a32bb9a185c31&scene=126&sessionid=0
版权

94733927d0f7c95c856dfd61e89e80ef.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

9cea92915573f8d79813ec40d29fa8c9.png

专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。

注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

f5dcd80fe32584db84a8f119a43dbc6d.png

基础性开源命令行工具 curl 的维护人员提醒称,本周将修复两个漏洞,其中一个是高危漏洞。

731aa4cb06305433416b00bafb2fa281.gif

Curl 为很多网络协议如SSL、TLS、HTTP、FTP、SMTP 等提供支持,供广大开发人员和系统管理员“与API交互、下载文件并在多种基于互联网的任务中创建自动化工作流。“

上周三,Curl 工具的维护人员在 GitHub 安全公告中提到,将为一个高危漏洞CVE-2023-38545和一个低危漏洞CVE-2023-38546发布修复方案,curl 更新将在10月11日发布以修复这些漏洞。CVE-2023-38545同时影响 curl 和 libcurl,而CVE-2023-38546仅影响 libcurl。

1ce8eb093b5c49c1be937954ea72eaa6.png

可能是长时间内最严重的漏洞

5b9448ff7cf37937af24349376ce1d13.png

一名维护人员提到,“该高危漏洞可能是很长时间以来最为严重的curl 漏洞。我无法披露漏洞所影响的版本范围,否则识别该问题的准确率非常高,因此我无法提前披露。具体能透露的就是‘最近数年发布的版本’均受影响。我们已经通知了发行版本邮件列表,使成员发行版本能够准备补丁。(在没有支持合同以及合理理由的情况下,其他任何人均无法在10月11日之前获得漏洞详情。)一旦了解之后,应马上行动。”

Tanium 公司的端点安全研究总监 Melissa Bischoping 提到,curl 作为独立工具和其它软件的组成部分均得到广泛应用。Curl 的广泛使用意味着组织机构应当趁此扩展其环境。Bischoping 解释称,虽然该漏洞可能并不影响curl的所有实现,但鉴于该首席开发人员给出的提前通知以及它可能具有的广泛影响,“即使最终并没有那么严重,但将其作为重大事件进行规划是稳妥做法。

她提到,“作为行业来讲,避免引发恐慌、不确定性和质疑的同时,以准备和补丁管理规划来应对这些‘最糟糕场景’至关重要。我很感激在我们为10月11日将发布的补丁进行权力准备时,curl开发人员能够竭尽所能提前告知并尝试控制最激烈的反应。”

Qualys 公司的研究员 Saeed Abbasi 发布博客文章解释称,libcurl 可使开发人员“在应用程序中增加健壮的数据传输功能,确保软件能够与服务器就多种任务如发送HTTP请求、管理cookie和处理认证等任务进行通信。这使得 curl 成为开发互联和web 应用的重要工具。”

该漏洞为开源安全旋风月画上了句号。白宫主持了由开源安全专家组成的一个论坛,随后发布了关于未来如何应对开源网络安全的路线图。但该会议之后,已有多个开源漏洞引发警报。网络安全和基础设施局 (CISA) 和网络安全研究员提醒称,影响两款热门开源工具libwebp和libvpx的多个漏洞目前已遭黑客利用。谷歌表示已发现未知商业监控软件厂商利用这些漏洞的证据。

上周二,亚马逊Web Services 为TorchServe 用户发布提醒。TorchServe 用于全球规模最大的人工智能模型企业中。

427990c87a3c421b608d5db6c9a2f633.png

SBOM重要性凸显

4b87d06f5e02914045a47821146addf6.png

多名人士表示,最近发生的事件强调了政府推动SBOMs的意义所在。SBOM将有助于组织机构了解所使用软件所依赖的工具。

Bischoping 表示,关于影响Curl 和 libcurl 问题的公布“再次说明SBOM的重要性所在,它可使组织机构找到使用特定组件如curl的任何东西。过去多年来,类似工具中出现类似漏洞的情况并不少见。在行业更好地标准化并默认包含SBOM文档之前,这一问题仍将难以解决“。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

在线阅读版:《2023中国软件供应链安全分析报告》全文

奇安信入选全球《软件成分分析全景图》代表厂商

奇安信入选全球《静态应用安全测试全景图》代表厂商

《软件供应商手册:SBOM的生成和提供》解读

美国商务部发布软件物料清单 (SBOM) 的最小元素(上)

美国商务部发布软件物料清单 (SBOM) 的最小元素(中)

美国商务部发布软件物料清单 (SBOM) 的最小元素(下)

速修复MOVEit Transfer 中的这个新0day!

MOVEit 文件传输软件0day被用于窃取数据

MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击

OilRig APT 组织或在中东地区发动更多 IT 供应链攻击

“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用

GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

流行的 NPM 包依赖关系中存在远程代码执行缺陷

速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码

GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥

因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露

彪马PUMA源代码被盗,称客户数据不受影响

原文链接

https://therecord.media/curl-vulnerabilities-to-be-announced-open-source

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

36d18da245b0134e541e355736e8d632.jpeg

991ebce752ce648535edb48549af6272.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   b9ded4596dfd3c96174ae32ed9580222.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MySQL UDF cURL:在 MySQL 用于 cURL 的用户定义函数-开源
07-17
cURL 是一个流行的命令行工具和库,用于传输数据到或从各种网络协议,如 HTTP、HTTPS、FTP、FTPS 等。它支持许多高级特性,包括 cookie、HTTP POST、HTTP PUT、HTTPS 证书、代理、用户名/密码认证等。在 MySQL UDF ...
Curl External Library-开源
04-24
此外,Curl不仅支持命令行工具,还提供了丰富的API,允许开发者在各种编程语言(如C、C++、Python、Java、PHP等)集成Curl功能。 Curl库的开源性质带来了诸多优势。首先,源代码的开放使得社区可以共同参与开发,...
【已复现】curl SOCKS5 堆溢出漏洞(CVE-2023-38545)安全风险通告
smellycat000的专栏
10-11 2024
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称curl SOCKS5 堆溢出漏洞漏洞编号QVD-2023-23751、CVE-2023-38545公开时间2023-10-10影响对象数量级亿级奇安信评级高危CVSS 3.1分数7.0威胁类型代码执行利用可能性低POC状态已公开在野利用状态未发现EXP状态未公开技术细节状态已公开利用条件:需要通过socks5代理,且url可控。(注:奇...
24 年了,终于有人发现 curl 的这个 Bug 了
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
03-27 314
curl 作者 Daniel Stenberg 在个人博客分享了一个存在 23.9 年的 curl 漏洞curl 是常用的命令行工具,用来请求 Web 服务器,于 1997 年首次发行。据 Stenberg 透露,这个漏洞是在 curl 发布后的第 201 天引入的,但是直到第 8930 天,漏洞才修复好。一个持续了 23.9 年的漏洞背后有着怎样的故事?一切还得从 1998 年说起。curl ...
centos漏洞系列(十一):LibCurl IMAP响应处理不当导致缓冲区溢出漏洞
gosenkle的专栏
11-03 2054
简介: IMAP的FETCH响应包含了指示返回数据长度的数据,当响应显示返回数据长度为0字节时,libcurl也会为这段不存在的数据分配一个指针和一个为0的长度,并将这些内容传递给deliver-data函数,libcurl的deliver-data函数把0作为魔术数处理,对0字节的数据调用strlen()以获取长度。在堆上调用strlen()可能导致读取到未正确使用null截断的内容,导致li...
libcurl 信息泄露漏洞CVE-2018-1000007)
zhanghongcai的专栏
01-22 1855
libcurl 7.1到7.57.0可能会意外地将身份验证数据泄漏给第三方。当被要求在其HTTP请求发送自定义报文头时,libcurl会首先将报文头发送到初始URL的主机,但如果被要求遵循重定向并返回30X HTTP响应代码,则会将该headers发送到URL提到的主机`Location:`响应header的值。发送相同的头文件到随后的主机对于传递自定义`Authorization:`HTT...
curl 身份认证绕过漏洞CVE-2023-27535)升级记录
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-08 745
curl在7.13.0-7.88.1版本存在身份认证绕过漏洞。libcurl将重用之前所创建的FTP连接,即使一个或多个参数被更改,可能会使有效用户变得不一样,从而导致使用错误的凭据进行第二次传输。官网:http://curl.haxx.se/download/影响范围:curl 7.13.0 - 7.88.1。
掰开揉碎,讲讲这个已存在近24年的CURL漏洞
smellycat000的专栏
09-08 866
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士这是一个与cookie、Internet代码和一个CVE有关的故事。故事发生在很久以前,所以搬好小板凳,仔细听好。当然,场景时候curl,它是与我工作有关的互联网传输工具和库。1998年1998年,我们推出curl 4.9。在那个年代,少有人听说过或用过curl。距离curl 网站宣布某个新发布的下载量达到300次还有几个月的时间要过。当时,cu...
curl 8.2.0 源码
07-23
`curl`是一个流行的开源命令行工具,用于在命令行接口传输数据,支持多种网络协议,包括HTTP、HTTPS、FTP、FTPS等。版本8.2.0是curl的一个特定迭代,提供了各种改进和新特性。`curl-8.2.0.tar.gz`是一个源码压缩包...
curl 7.88.1源码下载
02-21
`curl`是一个强大的开源命令行工具,用于传输数据到或从URL。它支持多种协议,如HTTP、HTTPS、FTP、FTPS等,还允许进行文件上传和下载。`curl`在开发人员和系统管理员非常受欢迎,因为它可以方便地集成到脚本,...
curl-7.61.1库(只支持Openssl)
10-27
在实际应用,使用curl-7.61.1库时,开发者需要注意以下几点: 1. **配置和安装**:在32位Windows系统上,需要下载与之匹配的curl-7.61.1二进制文件或源代码,并正确配置和编译,确保与系统环境和Openssl库兼容。 2...
赶紧排查!libcurl高危漏洞来了!
IT界那些事儿
10-09 1950
注意,在curl新版本发布之前,关于这两个漏洞的信息,作者半个字都不会说。他的twitter写的很清楚,甚至连这两个漏洞影响哪些版本都不会透露,防止大家根据这点信息去比较版本更新历史,找到这两个漏洞。如果仅仅是curl漏洞也不是什么大事,最关键的是,它的底层库 libcurl 被广泛应用于各种软件和项目,使得开发者能够在其应用程序进行网络交互。轩辕之前做C/C++开发,就经常用到这个库。即便你没有直接引用,但你用到的一些间件,也很有可能间接用到了这个库,这样算下来,其影响面就非常广了。
漏洞修复--Haxx curl 安全漏洞 (CVE-2020-8177)
Q先生
11-15 1805
漏洞修复--Haxx curl 安全漏洞 (CVE-2020-8177)
[漏洞分析] CVE-2023-38545 curl“史上最严重漏洞“分析
Breeze的博客
10-13 4873
分析与复现curl"史上最严重漏洞"CVE-2023-38545
phpcurl带来的风险
three_feng的博客
12-02 733
cURL可以使用URL的语法模拟浏览器来传输数据,因为它是模拟浏览器,因此它同样支持多种协议: FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE 以及 LDAP等协议都可以很好的支持。 在开发经常会使用curl来获取网络资源,可能会带来两方面的问题: 1、SSRF,通过请求来分析内网架构,并进行攻击。 2、文件读取,使用file协议
curl&libcurl存在缓冲区溢出高危漏洞 (CVE-2023-38545)解决
最新发布
qq_40619119的博客
10-13 3747
目前该漏洞只影响libcurl 7.69.0 ~ 8.3.0版本,不受漏洞影响的版本:libcurl < 7.69.0 和 >= 8.4.0。
供应链安全情报 | cURL最新远程堆溢出漏洞复现与修复建议
OpenSCACommunity的博客
10-12 403
cURL 是一个支持多种网络协议的开源项目,被广泛集成到自动化构建、网络测试、网络数据采集以及其他网络相关的任务,备受开发者和系统管理员青睐。cURL在今天下午紧急发布最新版本来修复前几日发现的高危安全漏洞,其编号为CVE-2023-38545漏洞cURL客户端在处理SOCKS5协议时存在的堆内存溢出漏洞
CVE-2022-27778漏洞修复
计算机辅助工程
08-11 8862
漏洞修复
Curl安全:维护网络传输的关键挑战】
qq_43751649的博客
10-10 598
Curl是一款广泛应用的命令行工具,用于在服务器之间传输数据。然而,最近即将公开的高危漏洞CVE-2023-38545存在引发了广泛关注。本文将探讨Curl的重要性、漏洞对业务的影响以及如何保护网络传输的安全。引言在当今数字化时代,网络传输是现代社会不可或缺的一部分。无论是数据交换、文件下载还是网页浏览,我们都依赖于安全可靠的网络传输工具Curl作为一款强大的命令行工具,为我们提供了方便快捷的数据传输方式。
有哪些开源免费的命令行工具
06-10
下面列举一些开源免费的命令行工具: 1. Git - 一个分布式版本控制系统,用于跟踪代码的变化,管理源代码。 2. Vim - 一个高级的文本编辑器,支持多种编程语言和文件格式,可用于编写代码和处理文本。 3. Grep - 一个用于在文本搜索指定模式的命令行工具,支持多种选项和正则表达式。 4. AWK - 一个用于文本处理和数据分析的命令行工具,支持多种操作和内置函数。 5. Sed - 一个用于文本处理的命令行工具,支持多种操作和正则表达式。 6. Curl - 一个用于访问和传输数据的命令行工具,支持多种协议和选项。 这些开源免费的命令行工具都可以在Linux、Unix和Mac OS等系统使用,提供了许多有用的功能和工具,可以帮助用户进行文本处理、数据分析、版本控制和网络访问等任务。需要注意的是,这些工具通常需要在命令行使用,需要一定的命令行使用经验和技能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值