Étant donné que curl est utilisé par une grande variété de systèmes d’exploitation, d’applications et d’appareils IoT, l’annonce préalable est logique, car elle permet aux organisations d’auditer leurs propres systèmes, de trouver toutes les instances de curl et de libcurl utilisées et d’établir un plan de correction à l’échelle de l’entreprise.
Le projet curl a également partagé simultanément l’information sur les failles avec les développeurs d’une variété de distributions Linux, Unix et Unix-like, afin qu’ils puissent préparer des correctifs ou des paquets mis à jour avant la sortie de la version 8.4.0 de curl.
CVE-2023-38545, rapporté par Jay Satiro, affecte l’outil de ligne de commande curl et la bibliothèque libcurl.
« Lorsqu’il est demandé à curl de transmettre le nom d’hôte au proxy SOCKS5 pour lui permettre de résoudre l’adresse au lieu de le faire lui-même, la longueur maximale du nom d’hôte est de 255 octets. Si le nom d’hôte est détecté comme étant plus long que 255 octets, curl passe à la résolution du nom local et transmet l’adresse résolue uniquement au proxy », explique l’avis associé.
CVE-2023-38545 affecte curl et libcurl de la version 7.69.0 à la version 8.3.0.
Le projet curl conseille aux utilisateurs de mettre à jour curl/libcurl vers la version 8.4.0 ou de patcher les versions plus anciennes, et a partagé des solutions d’atténuation supplémentaires/alternatives dans les avis.
