bencede
New member
cURL araçları koleksiyonu birçok proje tarafından HTTP çağrıları, API çağrıları ve komut satırı indirmeleri için kullanılır. Şimdi projenin kurucusu 11 Ekim için bir güvenlik güncellemesi duyurdu ki bu zaten bir şeymiş gibi görünüyor.
Duyuru
cURL yaratıcısı Daniel Stenberg’in bir güvenlik açığını tanımlamak için “emniyet kemerlerinizi bağlayın” ifadesini kullanması pek de iyiye işaret değil. THE İsveçli’nin açıklaması Bu çok açık: CVE-2023-38545 hatası “cURL’de uzun zamandır bulunan en kötü güvenlik sorunudur.” CVE ve CVSS metodolojisini sert bir şekilde eleştiren Stenberg, duyurusunu ABD’nin güvenlik açığı veritabanına göz atmak için kullanıyor. NVD, sorunun ciddiyeti nedeniyle muhtemelen “tam bir sinir krizi” geçirecek.
URL’ler için İsviçre Çakısı
Alayın ciddi bir arka planı var. DSL yönlendiricilerden PHP CMS’ye kadar yönetilemeyen sayıda cihaz ve program, “URL yönetimi için İsviçre çakısını” kullanır, dolayısıyla saldırı yüzeyi çok büyüktür. Stenberg yorum yapma özelliğini kapatana kadar GitHub’daki güvenlik hatası hakkında hararetli bir tartışmanın olması hiç de şaşırtıcı değil.
cURL geliştiricileri şu anda ayrıntıları gizli tutuyor. Bilinen tek şey, iki güvenlik açığının olduğudur: CVE-2023-38545 (cURL sayma yönteminde “yüksek” önem derecesi) ve CVE-2023-38546 (“düşük” önem derecesi).
Stenberg’e göre cURL’nin “son birkaç yıldaki” tüm sürümleri hatalardan etkileniyor. 11 Ekim 06:00 UTC’de (08:00 CEST) yayınlanan, hataları düzeltilen cURL sürümü 8.4.0 sürüm numarasına sahip olacak.
CVE sistemi ancak son zamanlarda cURL projesi için baş belası haline geldi. Bilinmeyen kişiler, geliştiricilerin güvenlikle alakasız olarak sınıflandırdığı ve uzun zaman önce kritik önemde düzeltilen bir hatayı yayınladı.
(cku)
Haberin Sonu
Duyuru
cURL yaratıcısı Daniel Stenberg’in bir güvenlik açığını tanımlamak için “emniyet kemerlerinizi bağlayın” ifadesini kullanması pek de iyiye işaret değil. THE İsveçli’nin açıklaması Bu çok açık: CVE-2023-38545 hatası “cURL’de uzun zamandır bulunan en kötü güvenlik sorunudur.” CVE ve CVSS metodolojisini sert bir şekilde eleştiren Stenberg, duyurusunu ABD’nin güvenlik açığı veritabanına göz atmak için kullanıyor. NVD, sorunun ciddiyeti nedeniyle muhtemelen “tam bir sinir krizi” geçirecek.
URL’ler için İsviçre Çakısı
Alayın ciddi bir arka planı var. DSL yönlendiricilerden PHP CMS’ye kadar yönetilemeyen sayıda cihaz ve program, “URL yönetimi için İsviçre çakısını” kullanır, dolayısıyla saldırı yüzeyi çok büyüktür. Stenberg yorum yapma özelliğini kapatana kadar GitHub’daki güvenlik hatası hakkında hararetli bir tartışmanın olması hiç de şaşırtıcı değil.
cURL geliştiricileri şu anda ayrıntıları gizli tutuyor. Bilinen tek şey, iki güvenlik açığının olduğudur: CVE-2023-38545 (cURL sayma yönteminde “yüksek” önem derecesi) ve CVE-2023-38546 (“düşük” önem derecesi).
Stenberg’e göre cURL’nin “son birkaç yıldaki” tüm sürümleri hatalardan etkileniyor. 11 Ekim 06:00 UTC’de (08:00 CEST) yayınlanan, hataları düzeltilen cURL sürümü 8.4.0 sürüm numarasına sahip olacak.
CVE sistemi ancak son zamanlarda cURL projesi için baş belası haline geldi. Bilinmeyen kişiler, geliştiricilerin güvenlikle alakasız olarak sınıflandırdığı ve uzun zaman önce kritik önemde düzeltilen bir hatayı yayınladı.
(cku)
Haberin Sonu