Специалисты предупреждают о высокой опасности одной из уязвимостей. С чем связана угроза?
Разработчики популярной open-source утилиты curl опубликовали предупреждение о двух уязвимостях, которые будут официально раскрыты на следующей неделе.
Curl (client URL) широко используется разработчиками и системными администраторами для работы с API, загрузки файлов и автоматизации различных задач. Этот инструмент лежит в основе многих важных сетевых протоколов, таких как SSL, TLS, HTTP, FTP и SMTP.
Согласно заявлению на платформе GitHub, 11 октября будет выпущено обновление, которое устранит баг высокой степени опасности — CVE-2023-38545 и незначительную проблему — CVE-2023-38546.
Первая уязвимость затрагивает как сам curl, так и библиотеку libcurl, которая играет важную роль в передаче файлов. Вторая проблема касается только libcurl.
Один из разработчиков охарактеризовал CVE-2023-38545 как «вероятно, самый серьезный дефект curl за долгое время». При этом конкретные детали пока не разглашаются в целях безопасности.
«Я не могу раскрыть никакой информации о диапазоне версий, которые находятся под угрозой, поскольку это поможет потенциальным злоумышленникам определить проблемные области с высокой точностью. Все, что я могу сказать – это версии последних нескольких лет». – говорит он.
По словам специалиста по кибербезопасности Мелиссы Бишопинг, curl является как отдельной утилитой, так и частью других процессов. Организациям следует оценить масштаб использования инструмента в своей инфраструктуре заранее, чтобы подготовиться к обновлению.
Исследователь Саид Аббаси в своем блоге объясняет, что библиотека libcurl позволяет разработчикам интегрировать в свои продукты функции надежной передачи данных и взаимодействия с веб-сервисами. Это делает ее критически важным компонентом для разработки современных веб-ориентированных приложений и облачных систем. Даже незначительные дефекты могут представлять большую опасность.
Другие эксперты подчеркивают: если бы компаниям предоставлялись подробные отчеты о структуре и принципах работы их ПО, это существенно облегчило бы поиск и устранение уязвимостей.
Однако проблема безопасности ПО в целом остаётся крайне сложной и требует пристального внимания со стороны всей IT-индустрии, включая разработчиков, поставщиков и потребителей.
Но доступ к знаниям открыт для всех