Ofta kan det verka som att det blir mycket uppståndelse kring nya sårbarheter men när de väl blir allmänt kända så går luften ur, vad som är speciellt med skaparna bakom curl är att de vanligtvis aktivt tonat ner riskerna när sårbarheter tidigare uppdagats.
Denna gång är det alltså skillnad eftersom utvecklarna själva annonserar risken med tillägget ”håll i er”.
CVE-2023-38545 kommer att tilldelas allvarlighetsgrad hög och påverkar både curl och libcurl.
Version 8.4.0 kommer att släppas ca 08:00, 2023-10-11.
Ytterst lite information är idag tillgänglig men utvecklarna kommenterar här: https://github.com/curl/curl/discussions/12026
cURL är ett mycket populärt projekt som erbjuder både libcurl (som används exempelvis för URL-transfers) och CLI-verktyget curl (CLI baserad webb-browser), dessa har använts i princip överallt (nästan samtliga linuxdistributioner, applikationer som gör uppslag på nätet etc.) de senaste 25+ åren.
Påverkansgraden av detta kan därför komma att bli gigantisk.
Certezza rekommenderar användare av cURL att uppgradera till v8.4.0 så snart som möjligt.
