Daniel Stenberg oznámil, že ve středu 11. října vyjde curl 8.4.0, který opraví dvě bezpečnostní chyby – jednu s hodnocením vážná a jednu méně závažnou. Ta s hodnocením HIGH je pravděpodobně nejhorší bezpečnostní chyba v curlu za dlouhou dobu.
Vážná chyba dostala označení CVE-2023–38545 a týká se knihovny libcurl i řádkového nástroje curl. Druhá chyba je označena jako CVE-2023–38546 a týká se jen knihovny. Opravy nevyžadují změny v API ani ABI.
Žádné další podrobnosti nebyly zveřejněny, netušíme ani, kterých verzí se chyba dotýká. Nemohu prozradit žádné informace o tom, který rozsah verzí je postižen, protože by to pomohlo identifikovat problém (oblast) s velkou přesností. Verze ‚za posledních několik let‘ jsou tak konkrétní, jak jen mohu uvést,
vysvětluje Stenberg. Vývojáři linuxových distribucí informace mají a pracují na opravě.
ČLÁNKY DO MAILU