1、简介
curl 从 1998 年维护至今,已经成为 HTTP 请求命令行工具的事实标准,具有丰富的 Api 和 Abi(应用程序二进制接口)。curl被用于汽车、电视机、路由器、打印机、音频设备、手机、平板电脑、医疗设备、机顶盒、电脑游戏、媒体播放器等各种设备中,并且在超过200亿个安装中作为互联网传输引擎被成千上万的软件应用程序使用。
libcurl是curl的一个开发库,它提供了用于进行网络通信和数据传输的API和功能。libcurl库允许开发人员在自己的应用程序中集成curl的功能,以便进行HTTP、FTP、SMTP等协议的数据传输。通过libcurl,开发人员可以方便地执行各种网络操作,例如发送HTTP请求、下载文件、上传文件等。libcurl是一个非常流行和广泛使用的网络库,常用于编写网络应用程序和客户端。
1.1 影响范围
1.受影响版本
7.69.0 <= libcurl <= 8.3.0
2.不受影响版本
Libcurl >= 8.4.0
Libcurl < 7.69.0查看centos7.9默认curl版本为7.29,不受影响
查看Ubuntu22.04版本curl版本为7.81.0,受影响
2、升级方法
1.官网下载最新版本升级包
最新版本8.4.0已经修复该漏洞,该版本为2023年10月11发布
# 最新版本下载地址
https://curl.se/download.html
2.下载并解压最新包
查看当前版本
wget https://curl.se/download/curl-8.4.0.tar.gz
tar -zxvf curl-8.4.0.tar.gz
cd curl-8.4.03.Centos安装方法
centos7 安装依赖包,需要GCC环境编译和openssl和依赖库
yum -y install gcc-c++ openssl openssl-devel
Centos7 编译curl环境,编译完重新登陆后即可
./configure --with-openssl
make
make intall
4.Ubuntu安装方法
ubuntu安装依赖包,需要安装openssl和开发库
apt install openssl libssl-dev
./configure --with-openssl
make
make intall
sudo ldconfig
原文始发于微信公众号(安全孺子牛):Curl SOCKS5 堆溢出漏洞(CVE-2023-38545)修复方法
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论