Desbordament del buffer libcurl i cURL
14/11/2023
CVE-2023-38545
ALT: (8,1)
CVSS3: 7,1
libcurl i cURL són vulnerables a un desbordament de memòria intermèdia basat en un monticle, causat pel maneig inadequat de noms d’amfitrió de més de 255 bytes durant un establiment de comunicació del proxy SOCKS5 lenta. En enviar un argument massa llarg, un atacant remot podria desbordar un buffer i executar codi arbitrari al sistema.
Sistemes Afectats
- cURL libcurl 7.69.0
- cURL libcurl 8.0.1
- cURL libcurl 8.1.2
- cURL libcurl 8.2.1
- cURL cURL 8.3.0
- cURL cURL 8.2.1
- cURL cURL 8.2.0
- cURL cURL 8.1.2
- cURL cURL 8.1.1
- cURL libcurl 8.3.0
- cURL libcurl 8.2.0
- cURL libcurl 8.1.1
- cURL libcurl 8.1.0
- cURL libcurl 8.0.0
- cURL cURL 8.0.1
- cURL cURL 8.0.0
Remediació
Consulteu l’Avís de seguretat de Project curl, de l’11 d’octubre de 2023 per obtenir informació sobre pedaços, actualitzacions o solucions alternatives suggerides. Vegeu-ne les Referències.
Referències
- Severity HIGH security problem to be announced with curl 8.4.0 on Oct 11 #12026
- Apollo’s Response to CVE-2023-38545
- CVE-2023-38545, A High Severity cURL and libcurl CVE, to be published on October 11th
- CVE-2023-38545, CVE-2023-38546: Frequently Asked Questions for New Vulnerabilities in curl
- Curl 8.4.0 – Proactively Identifying Potential Vulnerable Assets
