10 月 14 日消息，命令行工具 curl 近日曝出兩個漏洞，追蹤編號分別為 CVE-2023-38545 和 CVE-2023-38546，其中前者漏洞等級為“關(guān)鍵”，其破壞力不亞于 Log4j。

• CVE-2023-38545，一個影響 libcurl 庫和 curl 工具的高嚴(yán)重性漏洞；
• CVE-2023-38546，一個低嚴(yán)重性漏洞，僅影響 libcurl。

舊版 libcurl 庫和 curl 工具存在該漏洞，官方于 2023 年 10 月 11 日發(fā)布 8.4.0 版本更新，已經(jīng)修復(fù)了上述兩個漏洞。

微軟 Windows 10、Windows 11 系統(tǒng)默認(rèn)附帶 curl，而 10 月 11 日是微軟的補(bǔ)丁星期二活動日，因此此前推測本月累積更新會包含 8.4.0 新版本，不過用戶在升級之后，發(fā)現(xiàn)依然停留在過時的 curl 版本中。

IT之家注：Curl 是從 1998 年開始開發(fā)的開源網(wǎng)絡(luò)請求命令行工具，其具有豐富的 Api 和 Abi（應(yīng)用程序二進(jìn)制接口），被廣泛應(yīng)用于汽車、電視機(jī)、路由器、打印機(jī)、音頻設(shè)備、手機(jī)、平板電腦、醫(yī)療設(shè)備、機(jī)頂盒、電腦游戲、媒體播放器等各種設(shè)備中。

并且是數(shù)千種軟件應(yīng)用程序的互聯(lián)網(wǎng)傳輸引擎，安裝量超過 200 億，幾乎每位互聯(lián)網(wǎng)用戶日常都會用到 curl。作為組件廣泛用于應(yīng)用的 HTTP 請求，libcurl 也是一個非常流行和廣泛使用的網(wǎng)絡(luò)庫，被廣泛用于編寫網(wǎng)絡(luò)應(yīng)用程序和客戶端。