漏洞背景

近日，嘉诚安全监测到curl官方发布漏洞通告，修复了一个拒绝服务漏洞，漏洞编号为：CVE-2023-38039。

cURL（客户端URL）是一个开放源代码的命令行工具，也是一个跨平台的库（libcurl），用于在服务器之间传输数据，并分发给几乎所有新的操作系统。cURL编程用于需要通过Internet协议发送或接收数据的几乎任何地方。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏洞为高危漏洞。当curl检索HTTP响应时，它会存储传入的标头，以便稍后可以通过libcurl headers API访问它们。然而，curl在响应中接受的标头数量或大小没有限制，从而允许恶意服务器流式传输无穷无尽的标头，并最终导致curl耗尽堆内存。攻击者利用此漏洞可以导致合法用户不能够访问正常服务。

危害影响

影响范围：

libcurl 7.84.0 至 8.2.1

修复建议

根据影响版本中的信息，建议相关用户尽快更新至安全版本：

libcurl < 7.84.0

libcurl >= 8.3.0

下载链接请参考：

https://curl.se/download.html