Die Verantwortlichen der Curl-Bibliothek haben eine Warnung vor zwei anstehenden Sicherheitslücken veröffentlicht, die voraussichtlich am 11. Oktober 2023 mit den geplanten Updates behoben werden sollen. Es handelt sich dabei um eine Sicherheitslücke mit hoher Schweregrad und eine mit niedrigem Schweregrad, die unter den Kennungen CVE-2023-38545 und CVE-2023-38546 verfolgt werden.
Aus Sorge, dass die Informationen genutzt werden könnten, um das Problem präzise zu identifizieren, wurden genauere Details zu den betroffenen Versionen und Problembereichen zurückgehalten. Dennoch wurde bekannt, dass die „letzten mehreren Jahre“ von Versionen der Bibliothek betroffen sind.
Curl, angetrieben von libcurl, ist ein weit verbreitetes Befehlszeilen-Tool für den Datentransfer mittels URL-Syntax. Es unterstützt zahlreiche Protokolle.
Während die Lücke 2023-38545 sowohl libcurl als auch curl betrifft, wirkt sich CVE-2023-38546 nur auf libcurl aus.
Laut Saeed Abbasi von Qualys Threat Research Unit wird das Problem in der Curl-Version 8.4.0 behoben sein. Organisationen sollten alle Systeme, die curl und libcurl nutzen, überprüfen und sich auf das Update am 11. Oktober vorbereiten.
