Après une semaine de spéculations frénétiques sur la nature des problèmes de sécurité dans cURL, la dernière version de l’outil de transfert en ligne de commandes a finalement été publiée aujourd’hui. Décrit par le fondateur et principal développeur de cURL, Daniel Stenberg, comme étant «probablement la pire faille de sécurité de cURL depuis longtemps», les correctifs adressent deux vulnérabilités distinctes: CVE-2023-38545 et CVE-2023-38546. Nous savons maintenant que la première vulnérabilité, CVE-2023-38545, est une faille de débordement de pile affectant à la fois libcURL et l’outil cURL, avec une note de gravité «élevée». Les conséquences possibles de ce type de problèmes sont la corruption de données et, dans les cas les plus graves, l’exécution de code arbitraire. Plus précisément, le débordement de mémoire peut se produire pendant une procédure d’authentification SOCKS5 lente. La vulnérabilité a été déclenchée en raison d’une mauvaise gestion des noms d’hôtes de plus de 255 octets. Lorsqu’un nom d’hôte dépasse 255 octets, cURL bascule vers une résolution locale au lieu de laisser le proxy résoudre le nom d’hôte à distance.
Nouveau générateur vidéo AI de haute qualité Pyramid Flow lancé – et il est entièrement open source!
Restez connecté aux dernières tendances en matière d’IA en vous abonnant à nos newsletters régulières qui livrent des informations de
