Après une semaine de spéculation frénétique sur la nature des problèmes de sécurité dans curl, la dernière version de l’outil de transfert en ligne de commandes a finalement été publiée aujourd’hui. Décrit par le fondateur et principal développeur de curl, Daniel Stenberg, comme «probablement la pire faille de sécurité curl depuis longtemps», les correctifs corrigent deux vulnérabilités distinctes: CVE-2023-38545 et CVE-2023-38546. Nous savons maintenant que la première vulnérabilité, CVE-2023-38545, est une vulnérabilité de débordement de la pile qui affecte à la fois libcurl et l’outil curl, avec une note de gravité «élevée». Les conséquences possibles de ce type de problèmes sont la corruption de données et, dans les cas les plus graves, l’exécution de code arbitraire. Plus précisément, le débordement de la mémoire peut se produire lors d’une connexion lente à un proxy SOCKS5. La vulnérabilité a été déclenchée en raison de la mauvaise gestion des noms d’hôtes de plus de 255 octets. Lorsqu’un nom d’hôte dépasse 255 octets, curl passe à une résolution locale au lieu de laisser le proxy résoudre le nom d’hôte à distance.
Nouveau générateur vidéo AI de haute qualité Pyramid Flow lancé – et il est entièrement open source!
Restez connecté aux dernières tendances en matière d’IA en vous abonnant à nos newsletters régulières qui livrent des informations de