CVE-2023-38545, CVE-2023-38546: Frequently Asked Questions for New Vulnerabilities in curl
2023/10/04 tenable — 10月3日の X (Twitter) で、オープンソース開発者であり、curl のメンテナでもある Daniel Stenberg が、curl 8.4.0 で修正される深刻度の高い脆弱性について発表した。Daniel は、新しいバージョンは、予定より早目の 10月11日にリリースされると述べている。また、 Twitter スレッドへの返信で、「これまでと比べて、curl で発見された最悪のセキュリティ欠陥である」と指摘している。
FAQ
curl と libcurl とは?
Client for URL (curl) は、サーバ間でファイルを転送するために使用される、コマンド ライン ツール (CLI:Command Line Tool) である。 curl は、さまざまなプロトコルを利用できる。また、複数の API と多数のネットワーク・バインディングのサポートする、libcurl ライブラリによりサポートされている。 curl は、多くのシステム管理者や開発者により使用されている。
curl と libcurl の違いは?
“libcurl” は、他のプログラムから curl ツールを使用するための開発ライブラリである。また、”curl “は、スクリプトまたはシェル・プロンプトから実行される、cli ツールでありフロントエンドである。Stenberg の投稿は、この2つの違いについて素晴らしい要約を提供している。
curl 8.4.0 で修正される脆弱性とは?
10月4日の時点において、curl 8.4.0 で修正される脆弱性の詳細は不明だ。しかし、curl プロジェクトの GitHub リポジトリに記されたディスカッションから、以下の表に示すような基本的な情報が得られる:
パッチはいつ提供される?
GitHub のディスカッション・ポストと、Twitter のアナウンスによると、curl のバージョン 8.4.0 は、10月11日にリリースされ、2つの脆弱性に対処する予定となる。
2つの脆弱性は悪用されている?
10月4日の時点では、これらの脆弱性の悪用ついて、情報は得られていない。
curl はが使われている範囲は?
curl は、世界中の各種のアプリやデバイスで使用されている。したがって、最も広く使用されている OSS プロジェクトの1つとなる。数多くの Linux ディストリビューションだけではなく、Windows 10 以降にも導入されている。
影響を受けるシステムの特定
10月11日に curl 8.4.0 がリリースされると、2件の CVE に対応するプラグインが提供される予定だ。それまでの間は、Plugins Pipeline を用いて、のプラグイン・リリース情報を確認することを推奨する。また、その間において、Windows ホスト上の curl インストールを特定するための、プラグイン ID 171860 が利用できる。
お隣のキュレーション・チームから教えてもらった、tenable のブログを訳してみました。そのため、いつものメディア記事とは異なる構成になっていますが、なかなか分かりやすい記事で、訳すのも楽しかったです。curl と libcurl のセットですが、かなりの広範囲で利用されている、とても大切な OSS プロジェクトなんですね。
リリースされたパッチが GitLab にありましたのでご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.