10月4日，命令行工具curl和客户端URL传输库的主要作者Daniel Stenberg在其官方社交媒体平台中发布了一则安全公告称，即将在10月11日（本周三）发布curl的8.4.0版本，将在新版本中修复漏洞CVE-2023-38545和CVE-2023-38546。这一公告还被置顶在libcurl官网，以提醒用户关注。

　　Daniel Stenberg表示，这两个漏洞中包含的高危漏洞CVE-2023-38545“可能是curl有史以来最严重的安全漏洞”。并提醒各位开发者提前做好准备，排查相关联组件以在第一时间快速更新以解决安全问题。

　　据悉，Curl是从1998年开始开发的开源网络请求命令行工具，其具有丰富的 Api 和 Abi（应用程序二进制接口），被广泛应用于汽车、电视机、路由器、打印机、音频设备、手机、平板电脑、医疗设备、机顶盒、电脑游戏、媒体播放器等各种设备中。作为组件广泛用于应用的HTTP请求，libcurl也是一个非常流行和广泛使用的网络库，被广泛用于编写网络应用程序和客户端。

　　在关注到这一漏洞情报后，业内多家安全厂商也陆续发布安全通知，提醒用户提前排查。就连行业大佬TK教主也为此发布微博，提醒大家保持关注。

　　安全419注意到，有人称，curl称为当今信息世界的基座之一，鉴于curl的影响面之广，预计本次的高危漏洞必然会造成另外一场轩然大波；也有人称，这一漏洞或将比拟当年的log4j漏洞，网安从业者又要熬夜加班修漏洞了，将气氛烘托得十分凝重，可以说包括开发、运维和安全团队都为此做足了动员工作，准备在新版本发布的第一时间升级更新。

　　在漏洞POC信息发布后，包括赛博昆仑、奇安信、长亭科技、墨菲安全、天融信等在内的多家厂商均在第一时间确认漏洞原理，并成功复现该漏洞。

　　根据奇安信CERT专家分析，CVE-2023-38545是一个由SOCKS5触发的堆溢出漏洞，当使用socks5代理时，如果主机名大于255则curl会尝试使用本地解析代替远程解析，但没有按照预期工作，导致内存损坏，攻击者可以构造恶意主机名触发漏洞，成功利用该漏洞将造成代码执行。

　　微步在线漏洞团队分析称，经过分析和研判，该漏洞利用条件较为苛刻，当curl配置了socks5代理、且自动follow重定向、且SOCKS5 代理必须“足够慢”等条件下，在请求恶意网站时，可能触发堆溢出，最终实现拒绝服务或代码执行，同样建议用户酌情排期修复。

　　综合当前各家发布信息，除了部分厂商沿用curl作者给出的“高危”评级外，也有部分厂商根据该漏洞的实际影响情况进行了重新评级，譬如，阿里云应急响应中心对该漏洞给出了“中危”的评级，而微步在线对该漏洞则仅给出了“低危”的评级。

　　与此同时，在向墨菲安全了解详细情况时，墨菲安全创始人章华鹏也告诉我们，经过初步分析在线代理ip在线验证，该漏洞利用条件较高，预估能实际造成严重危害的场景相对有限。从利用结果上看，导致拒绝服务是比较容易的，但要造成远程代码执行，需要根据具体的应用、操作系统平台进行构造，黑盒场景通常难以利用。

　　但他同时也指出，虽然该漏洞并没有像curl官方最初声明的那样严重，但也不排除该漏洞还存在其他利用方式。建议企业用户升级 curl 和 libcurl 到 8.4.0 或更高版本，或参考官方发布补丁进行修复。

　　截至本文发布前，安全419注意到，仍有部分「不明真相」的安全团队在持续转发“堪比Log4j”的消息，看到这里可以不必惊慌啦，参考各家厂商给出的建议，排期修复漏洞就好。