Von vielen Projekten wird die Toolsammlung cURL für HTTP-Aufrufe, API-Calls und Downloads auf der Kommandozeile verwendet. Für den 11. Oktober hat der Gründer des Projekts, Daniel Stenberg, ein sehr wichtiges Sicherheits-Update angekündigt.

Bislang handelt es sich um zwei Sicherheitslücken, CVE-2023-38545 (Schweregrad "hoch" in der cURL-Zählweise) und CVE-2023-38546 (Schweregrad "niedrig"). Zur Sicherheitslücke CVE-2023-38545 schrieb Stenberg, es sei das "schlimmste Sicherheitsproblem, das seit langer Zeit in cURL gefunden wurde".

cURL wird von einer unüberschaubaren Menge von Geräten und Programmen vom DSL-Router bis zum PHP-CMS genutzt. Laut Stenberg sind von den Sicherheitslücken alle cURL-Versionen der "letzten Jahre" betroffen. Das Sicherheitsupdate soll am 11. Oktober um 06:00 Uhr UTC (08:00 Uhr MESZ) erscheinen und hebt die cURL-Version auf die Versionsnummer 8.4.0.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE