漏洞背景
近日,嘉诚安全监测到curl官方发布漏洞通告,修复了一个拒绝服务漏洞,漏洞编号为:CVE-2023-38039。
cURL(客户端URL)是一个开放源代码的命令行工具,也是一个跨平台的库(libcurl),用于在服务器之间传输数据,并分发给几乎所有新的操作系统。cURL编程用于需要通过Internet协议发送或接收数据的几乎任何地方。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判,该漏洞为高危漏洞。当curl检索HTTP响应时,它会存储传入的标头,以便稍后可以通过libcurl headers API访问它们。然而,curl在响应中接受的标头数量或大小没有限制,从而允许恶意服务器流式传输无穷无尽的标头,并最终导致curl耗尽堆内存。攻击者利用此漏洞可以导致合法用户不能够访问正常服务。
危害影响
影响范围:
libcurl 7.84.0 至 8.2.1
修复建议
根据影响版本中的信息,建议相关用户尽快更新至安全版本:
libcurl < 7.84.0
libcurl >= 8.3.0
下载链接请参考:
https://curl.se/download.html