Qualysは10月5日(米国時間)、「Curl 8.4.0 - Proactively Identifying Potential Vulnerable Assets|Qualys Security Blog」において、2023年10月11日にリリース予定のURLデータ転送コマンドラインツール「Curl」バージョン8.4.0の事前通知を発表した。バージョン8.4.0では深刻度の高い脆弱性と低い脆弱性の合計2件を修正予定としている。

  • Curl 8.4.0 - Proactively Identifying Potential Vulnerable Assets|Qualys Security Blog

    Curl 8.4.0 - Proactively Identifying Potential Vulnerable Assets|Qualys Security Blog

Qualysによると、深刻度の高い脆弱性は近年確認された中で最も重大なセキュリティ上の不具合だという。深刻度の高い脆弱性はCurlおよびlibcurlの双方に影響があり、深刻度の低い脆弱性はlibcurlのみ影響があるという。

これら新しく発見された脆弱性はCVE-2023-38545とCVE-2023-38546で追跡されているが、詳細は公開されていない。脆弱性と新しいバージョンの詳細に間しては、2023年10月11日 午前6時(協定世界時)頃に公開予定としている。

Qualysはシステム管理者に対し、Curlおよびlibcurlを使用しているすべてのシステムをスキャンして影響範囲を特定し、新しいバージョンの公開に備える必要があるとしている。特に深刻度の高い脆弱性について、Webアプリケーションの保護に早急かつ細心の注意を払うことを求めている。システム管理者はCurlの新しいバージョンが公開され次第、影響を受けるシステムに対して速やかにアップデートを適用することが望まれている。