Après une semaine de spéculation frénétique sur la nature des problèmes de sécurité dans curl, la dernière version de l’outil de transfert en ligne de commandes a finalement été publiée aujourd’hui. Décrit par le fondateur et développeur principal du projet curl, Daniel Stenberg, comme étant «probablement la pire faille de sécurité curl de longue date», les correctifs adressent deux vulnérabilités distinctes: CVE-2023-38545 et CVE-2023-38546. Nous savons maintenant que la première vulnérabilité, CVE-2023-38545, est une vulnérabilité de débordement de la pile affectant à la fois libcurl et l’outil curl, avec une note de gravité «élevée». Les conséquences possibles de ce type de problèmes sont la corruption des données et, dans les cas les plus graves, l’exécution de code arbitraire. Plus précisément, le débordement de la pile peut se produire lors d’une connexion lente SOCKS5. La vulnérabilité a été déclenchée en raison de la mauvaise gestion des noms d’hôte de plus de 255 octets. Lorsqu’un nom d’hôte dépasse 255 octets, curl passe à la résolution locale plutôt que de laisser le proxy résoudre le nom d’hôte à distance.
Les Problèmes Communs Rencontrés par la Société dans l’Utilisation Efficace des Derniers Développements de l’Intelligence Artificielle
Les Problèmes Communs Rencontrés par la Société dans l’Utilisation Efficace des Derniers Développements de l’Intelligence Artificielle Introduction L’intelligence artificielle (IA)
