Siber Muhbir

Curl kitaplığının geliştiricileri, 11 Ekim 2023'te yayınlanacak olan bir güncellemenin parçası olarak ele alınması beklenen iki güvenlik açığına ilişkin bir tavsiye uyarısı yayınladı.

Bu, sırasıyla CVE-2023-38545 ve CVE-2023-38546 tanımlayıcıları altında izlenen yüksek önem derecesine sahip ve düşük önem derecesine sahip bir kusuru içerir.

Sorunlar ve etkilenen tam sürüm aralıkları hakkında ek ayrıntılar, bilgilerin "sorunu (alanı) çok yüksek bir doğrulukla tanımlamaya yardımcı olmak" için kullanılabileceği olasılığı nedeniyle saklanmıştır.

Bununla birlikte, kütüphanenin sürümlerinin "son birkaç yılın" etkilendiği söyleniyor.

Projenin arkasındaki baş geliştirici Daniel Stenberg, GitHub'da yayınlanan bir mesajda, "Elbette, yamayı göndermeden önce birisinin bunu (tekrar) bulması için çok küçük bir risk var, ancak bu sorun bir nedenden dolayı yıllarca tespit edilmeden kaldı" dedi.

libcurl tarafından desteklenen Curl, URL sözdizimi ile belirtilen verileri aktarmak için popüler bir komut satırı aracıdır. FTP(S), HTTP(S), IMAP(S), LDAP(S), MQTT, POP3, RTMP(S), SCP, SFTP, SMB(S), SMTP(S), TELNET, WS ve WSS gibi çok çeşitli protokolleri destekler.

2023-38545 hem libcurl hem de curl'u etkilerken, CVE-2023-38546 yalnızca libcurl'yi etkiler.

Qualys Tehdit Araştırma Birimi (TRU) ürün müdürü Saeed Abbasi, "Yayın öncesi sorun tanımlamasını önlemek için belirli sürüm aralığı ayrıntılarının açıklanmamasıyla, güvenlik açıkları curl sürüm 8.4.0'da düzeltilecek" dedi.

"Kuruluşlar, 8 Ekim'de Curl 4.0.11'ın piyasaya sürülmesiyle ayrıntılar açıklandıktan sonra potansiyel olarak savunmasız sürümleri belirlemeyi öngörerek, curl ve libcurl kullanan tüm sistemlerin acilen envanterini çıkarmalı ve taramalıdır."