Los maintainers de la biblioteca Curl han publicado una nota de advertencia sobre dos vulnerabilidades de seguridad que se espera que se aborden como parte de una próxima actualización que se lanzará el 11 de octubre de 2023.
Esto incluye una falla de alta gravedad y una de baja gravedad rastreadas bajo los identificadores CVE-2023-38545 y CVE-2023-38546.
Los detalles adicionales sobre los problemas y los rangos exactos de versiones afectados se han retenido debido a la posibilidad de que la información pueda usarse para “ayudar a identificar el problema (área) con una precisión muy alta”.
Dicho esto, se dice que los “últimos años” de las versiones de la biblioteca se han visto afectados.
“Claro, existe un riesgo minúsculo de que alguien pueda encontrar esto (nuevamente) antes de que lancemos el parche, pero este problema ha permanecido sin ser detectado durante años por una razón”, dijo Daniel Stenberg, el desarrollador principal detrás del proyecto, en un mensaje publicado en GitHub.
Curl, con tecnología de libcurl, es una popular herramienta de línea de comandos para transferir datos especificados con sintaxis de URL. Es compatible con una amplia gama de protocolos, como FTP(S), HTTP(S), IMAP(S), LDAP(S), MQTT, POP3, RTMP(S), SCP, SFTP, SMB(S), SMTP(S), TELNET, WS y WSS.
Mientras que 2023-38545 afecta tanto a libcurl como a curl, CVE-2023-38546 solo afecta a libcurl.
“Con detalles específicos del rango de versiones no revelados para evitar la identificación de problemas previos al lanzamiento, las vulnerabilidades se corregirán en la versión 8.4.0 de curl”, dijo Saeed Abbasi, gerente de producto de la Unidad de Investigación de Amenazas (TRU) de Qualys.
“Las organizaciones deben inventariar y escanear urgentemente todos los sistemas que utilizan curl y libcurl, anticipando la identificación de versiones potencialmente vulnerables una vez que se revelen los detalles con el lanzamiento de Curl 8.4.0 el 11 de octubre”.
