99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

安全通告

curl SOCKS5 堆溢出漏洞預(yù)警通告

發(fā)布日期：2023-10-13

?

漏洞描述

2023年10月13日公司監(jiān)測(cè)到curl SOCKS5 堆溢出漏洞(CVE-2023-38545)情報(bào)。curl 是用于在各種網(wǎng)絡(luò)協(xié)議之間傳輸數(shù)據(jù)的命令行工具，libcurl 是 curl 的一個(gè)開(kāi)發(fā) lib庫(kù)，它提供了用于進(jìn)行網(wǎng)絡(luò)通信和數(shù)據(jù)傳輸?shù)?API 和功能。libcurl庫(kù)允許開(kāi)發(fā)人員在自己的應(yīng)用程序中集成 curl 的功能，以便進(jìn)行HTTP、FTP、SMTP 等協(xié)議的數(shù)據(jù)傳輸。當(dāng)curl使用socks5代理時(shí)，如果請(qǐng)求的hostname長(zhǎng)度大于 255 則 curl 會(huì)嘗試使用本地解析代替遠(yuǎn)程解析，導(dǎo)致堆邊界溢出，攻擊者可以構(gòu)造惡意 hostname 誘導(dǎo)受害者訪問(wèn)從而觸發(fā)漏洞，成功利用該漏洞將造成代碼執(zhí)行。

漏洞編號(hào)

CVE-2023-38545

漏洞危害

攻擊者可以構(gòu)造惡意 hostname 誘導(dǎo)受害者訪問(wèn)從而觸發(fā)漏洞，成功利用該漏洞將造成代碼執(zhí)行。

漏洞等級(jí)

高危
受影響版本

7.69.0 <= libcurl <= 8.3.0

修復(fù)方案

目前官方已發(fā)布新版本修復(fù)上述漏洞，建議受影響用戶及時(shí)更新升級(jí)進(jìn)行防護(hù)：

https://curl.se/download.html

https://github.com/curl/curl/commit/fb4415d8aee6c1

參考鏈接

https://curl.se/docs/CVE-2023-38545.html