漏洞：curl & libcurl 安全漏洞预警

漏洞编号：CVE-2023-38545、CVE-2023-38546 

威胁程度：高危

影响范围：7.69.0 到 8.3.0，触发条件是用了 SOCKS5

漏洞描述：

curl库是一个用于传输数据的流行命令行工具，支持多种协议，如FTP、HTTP、IMAP等。

该库的维护者发布了一个预警，称将在10月11日发布更新，修复两个已被利用的安全漏洞。

这两个漏洞分别被标记为CVE-2023-38545和CVE-2023-38546，严重程度分别为高和低。

由于担心泄露信息可能会帮助攻击者准确地识别出问题所在，维护者没有透露漏洞的具体细节和受影响的版本范围。

但据称，该库的近几年的版本都存在问题。

CVE-2023-38545影响了libcurl和curl，而CVE-2023-38546只影响了libcurl。

这些漏洞可能会导致远程代码执行、权限提升或信息泄露等风险。建议使用curl库的用户尽快更新到最新版本，以防止遭受攻击。

修复建议：升级至8.4.0

相关链接：

https://curl.se/docs/CVE-2023-38545.html

https://github.com/curl/curl/commit/4a4b63daaa

curl / libcurl介绍：

curl是一个利用URL语法在命令行下工作的文件传输工具，1997年首次发行。它支持文件上传和下载，所以是综合传输工具，但按传统，习惯称curl为下载工具。cURL还包含了用于程序开发的libcurl。

curl支持的通信协议有FTP、FTPS、HTTP、HTTPS、TFTP、SFTP、Gopher、SCP、Telnet、DICT、FILE、LDAP、LDAPS、IMAP、POP3、SMTP和RTSP。

curl还支持SSL认证、HTTP POST、HTTP PUT、FTP上传, HTTP form based upload、proxies、HTTP/2、cookies、用户名+密码认证(Basic, Plain, Digest, CRAM-MD5, NTLM, Negotiate and Kerberos)、file transfer resume、proxy tunneling。

libcurl是一个跨平台的网络协议库，支持http, https, ftp, gopher, telnet, dict, file, 和ldap 协议。libcurl同样支持HTTPS证书授权，HTTP POST, HTTP PUT, FTP 上传, HTTP基本表单上传，代理，cookies,和用户认证。

curl/libcurl 还广泛应用于以下方面：

1、GitHub中有2.6万个相关的开源项目，其中php、shell、JavaScript、Python、C/C++项目中使用较多；

2、具有网络传输功能的客户端应用程序，如办公套件LibreOffice、火狐浏览器等；

3、几乎所有的操作系统，如：Linux、Windows、macOS、iOS 和 Android等。