cURL: Infos zu "schlimmster Sicherheitslücke seit Langem" kommen am 11. Oktober
Der Gründer des cURL-Projekts kündigt die Veröffentlichung von Infos zu einer schweren Lücke in den Web-Requests-Tools für den kommenden Mittwoch an.
(Bild: Panwasin seemala / Shutterstock.com)
Die Toolsammlung cURL wird von vielen Projekten für HTTP-Aufrufe, API-Calls und für Downloads auf der Kommandozeile verwendet. Nun kündigt ihr Gründer des Projekts für den 11. Oktober ein Sicherheits-Update an, das es offenbar in sich hat.
Wenn cURL-Schöpfer Daniel Stenberg die Formulierung "schnallt Euch an" zu einer Sicherheitslücke verwendet, verheißt das nichts Gutes. Die Ankündigung des Schweden auf X ist sehr deutlich: Der Bug CVE-2023-38545 sei das "schlimmste Sicherheitsproblem, das seit langer Zeit in cURL gefunden wurde". Stenberg, ein vehementer Kritiker der CVE- und CVSS-Methodik, nutzt seine Ankündigung für einen Seitenhieb auf die US-Datenbank für Sicherheitslücken. Die NVD werde ob der Schwere des Problems wohl einen "völligen Nervenzusammenbruch" erleiden.
Schweizer Messer für URLs
Die Frotzelei hat einen ernsten Hintergrund. Eine unüberschaubare Menge von Geräten und Programmen vom DSL-Router bis zum PHP-CMS nutzt das "Schweizer Messer für den Umgang mit URLs", die Angriffsfläche ist also sehr groß. Und so ist es nicht verwunderlich, dass sich auf GitHub eine lebhafte Diskussion um den Sicherheits-Bug entspann, bis Stenberg die Kommentarfunktion deaktivierte.
Mit Details halten die cURL-Entwickler sich derzeit noch zurück. Bekannt ist lediglich, dass es sich um zwei Sicherheitslücken handelt, CVE-2023-38545 (Schweregrad "hoch" in der cURL-Zählweise) und CVE-2023-38546 (Schweregrad "niedrig").
Lesen Sie auch
Curl wird 25 – und feiert mit Version 8.0
Von den Bugs betroffen sind Stenberg zufolge alle cURL-Versionen der "letzten Jahre". Die am 11. Oktober um 06:00 Uhr UTC (08:00 Uhr MESZ) erscheinende fehlerbereinigte cURL-Version wird die Versionsnummer 8.4.0 tragen.
Erst vor Kurzem wurde das CVE-System zum Ärgernis für das cURL-Projekt. Unbekannte hatten einen Bug, der von den Entwicklern als nicht sicherheitsrelevant eingestuft und vor langer Zeit behoben worden war, dort von mit kritischem Schweregrad eingestellt.
(cku)