Seite 1 von 1
curl: Severity HIGH security problem to be announced with curl 8.4.0 on Oct 11
Verfasst: 05.10.2023 12:54:06
von TRex
https://github.com/curl/curl/discussions/12026 hat geschrieben:We are cutting the release cycle short and will release curl 8.4.0 on October 11, including fixes for a severity HIGH CVE and one severity LOW. The one rated HIGH is probably the worst curl security flaw in a long time.
The new version and details about the two CVEs will be published around 06:00 UTC on the release day.
CVE-2023-38545: severity HIGH (affects both libcurl and the curl tool)
CVE-2023-38546: severity LOW (affects libcurl only, not the tool)
Now you know. Plan accordingly.
Keine Infos verfügbar, bis der Patch für alle bereit steht. Mit der Ankündigung sollten aber alle, die irgendwo curl gegen was anderes als eigene Systeme benutzen, sich auf ne schnelle Reaktion gefasst machen.
Re: curl: Severity HIGH security problem to be announced with curl 8.4.0 on Oct 11
Verfasst: 11.10.2023 15:59:10
von TRex
https://daniel.haxx.se/blog/2023/10/11/curl-8-4-0/
HIGH betrifft die Verwendung mit SOCKS5. Ich bin gleichermaßen enttäuscht und erleichtert.
Re: curl: Severity HIGH security problem to be announced with curl 8.4.0 on Oct 11
Verfasst: 11.10.2023 16:12:00
von Meillo
TRex hat geschrieben: 
11.10.2023 15:59:10
Ich bin gleichermaßen enttäuscht und erleichtert.
Re: curl: Severity HIGH security problem to be announced with curl 8.4.0 on Oct 11
Verfasst: 11.10.2023 18:28:13
von rhHeini
Das Ganze ist möglicherweise ein KI-Hoax:
https://mastodon.social/@bagder/111209297284373489
Aus Fefes Blog vom 10.10.2023
Re: curl: Severity HIGH security problem to be announced with curl 8.4.0 on Oct 11
Verfasst: 11.10.2023 18:59:28
von TRex
Nein. Du findest im Blogeintrag (verlinkt im zweiten Beitrag) die ausführliche Analyse seitens der curl-Entwickler und darin auch den ursprünglichen report auf hackerone (1), der nun öffentlich ist.
(1)
https://hackerone.com/reports/2187833