В curl 8.4.0 устранены две серьезные уязвимости

В утилите командной строки curl исправлены две уязвимости. Обновленная версия  curl 8.4.0 вышла 11 октября. 

Уязвимость CVE-2023-38545 связана с переполнением буфера кучи в libcurl и curl. Ее эксплойт может привести к выполнению произвольного кода и частичному повреждению данных.

CVE-2023-38546 — уязвимость только libcurl, которая позволяет выполнять инъекции cookie. Ее уровень риска оценивается ниже, чем у первой. Уязвимость опасна для версий libcurl от 7.9.1 до 8.3.0 включительно.

Основатель curl Даниэль Стенберг назвал обе проблемы безопасности вероятно самыми серьезными за время его существования. Он отметил, что обе уязвимости вызваны использованием языка программирования с недостаточным объемом памяти.