Forwarded from T.Hunter
#news Вышла новая версия инструмента Curl, экстренно правящая две серьёзных уязвимости, «худшие в проекте за долгое время». CVE-2023-38545 с оценкой 7.5 по CVSS на переполнение буфера кучи как в libcurl, так и в curl с потенциалом на повреждение данных и произвольный код. И выбившая пятёрочку CVE-2023-38546 на инъекцию куки, риск атак по которой невысок. Приложениям, зависимым от libcurl версий от 7.69.0 до 8.3.0, срочно нужен патч.
Между тем разработчик искренне раскаивается: первая уязвимость провисела в коде 3,5 года, а, читая его сейчас, он удивляется как мог её не заметить. «Я всего лишь человек» – доверительно сообщает Стенберг. Всё так, всё так. При этом решить проблему косячного wetware мог бы перевод Curl на более безопасный язык с устаревшего C. Увы, этого на повестке дня нет. «Все, кому это не нравится, могут засучить рукава и самостоятельно приступить к разработке», — добавил Стенберг. Что ж, справедливо.
@tomhunter
Между тем разработчик искренне раскаивается: первая уязвимость провисела в коде 3,5 года, а, читая его сейчас, он удивляется как мог её не заметить. «Я всего лишь человек» – доверительно сообщает Стенберг. Всё так, всё так. При этом решить проблему косячного wetware мог бы перевод Curl на более безопасный язык с устаревшего C. Увы, этого на повестке дня нет. «Все, кому это не нравится, могут засучить рукава и самостоятельно приступить к разработке», — добавил Стенберг. Что ж, справедливо.
@tomhunter