O projeto Curl, amplamente utilizado como ferramenta de linha de comando e biblioteca para transferência de dados por meio de uma variedade de protocolos, está se preparando para lançar o Curl 8.4 antecipadamente. O objetivo é resolver uma vulnerabilidade particularmente desagradável. Segundo especialistas, o Curl enfrenta “pior falha de segurança do Curl em muito tempo”.
Os detalhes sobre esta nova vulnerabilidade da biblioteca Curl são leves, pois ela ainda está embargada até quarta-feira, 11 de outubro. No entanto, este aviso do desenvolvedor líder do Curl, Daniel Stenberg, lança alguma luz sobre o fato de ser particularmente contundente:
“Estamos encurtando o ciclo de lançamento e lançaremos o curl 8.4.0 em 11 de outubro, incluindo correções para um CVE de severidade ALTA e uma severidade BAIXA. Aquele classificado como ALTO é provavelmente a pior falha de segurança do curl em muito tempo…CVE -2023-38545: gravidade ALTA (afeta tanto libcurl quanto a ferramenta curl).
Não posso divulgar nenhuma informação sobre qual intervalo de versão é afetado, pois isso ajudaria a identificar o problema (área) com uma precisão muito alta, então não posso faça isso com antecedência. Os “últimos anos” das versões são o mais específicos que consigo.”
Curl enfrenta “pior falha de segurança do Curl em muito tempo”
A breve divulgação foi publicada há alguns dias em preparação para o lançamento do Curl 8.4, que acontecerá em 11 de outubro.
Com todas as versões do Curl dos últimos anos sendo afetadas e o próprio Stenberg chamando-a de “provavelmente a pior falha de segurança do Curl em muito tempo”, parece que será uma vulnerabilidade particularmente contundente na biblioteca libcurl e na ferramenta de linha de comando.