cURL یک نرمفزار کامپیوتری است که به شما این امکان را میدهد تا دادهها را بین دستگاه خود و سرور از طریق یک رابط خط فرمان (CLI) با استفاده از پروتکلهای مختلف شبکه، مبادله کنید. به تازگی یک آسیبپذیری با شناسه CVE-2024-0853 برای این افزونه کشف شده که طبق بررسیهای انجامشده این نقص امنیتی در curl ، SSL Session ID Cache وجود دارد که برخی از اطلاعات مربوط به اتصال امن را در حافظه پنهان خود ذخیره میکند. آزمایشی به نام OCSP stapling وجود دارد که یک بررسی امنیتی است؛ اگر این آزمایش در طول تلاش برای اتصال ناموفق باشد، اتصال را به عنوان ناامن علامتگذاری میکند. به دلیل وجود نقص در برنامهنویسیcurl ، اطلاعات ذخیره شده session ID را حتی زمانی که بررسی امنیتی با شکست مواجه میشود، نگه میدارد. اگر مهاجمی بلافاصله پس از تلاش ناموفق دوباره به همان وبسایت متصل شود، curl ممکن است از بررسی امنیتی صرفنظر کند زیرا به حافظه پنهان session ID جدید متکی است. این نقص در curl زمانی رخ میدهد که از OpenSSL و TLS 1.2 استفاده میشود.
محصولات تحت تأثیر
curl نسخه 8.5.0 تحت تأثیر این نقص امنیتی قراردارد.
توصیههای امنیتی
• به کاربران توصیه میشود این محصول را به نسخه 8.6.0 یا بالاتر بهروزرسانی کنند.
• از TLS 1.2 جهت نقل و انتقالات اطلاعات خود استفاده نکنید.
منبع خبر:
- 40