Mythos нашел уязвимость в curl: когда даже старые друзья подводят

Если вы думали, что curl — это тот самый стабильный парень, который никогда не подводит, то Mythos только что напомнил, что даже у ветеранов бывают скелеты в шкафу. Исследовательская группа Mythos обнаружила уязвимость в curl, которая, как выражаются сами авторы, позволяет злоумышленнику творить нехорошие вещи с памятью.

Что случилось? Уязвимость (CVE пока не присвоен) кроется в обработке некоторых типов URL-адресов. Если curl получает специально сформированный запрос, он может повредить память и выполнить произвольный код. Звучит как типичный вторник для тех, кто работает с C, но для curl это редкость — проект славится своей безопасностью.

Кто виноват и что делать? Как водится, патч уже готов и ждет включения в следующий релиз. Разработчики curl оперативно отреагировали — спасибо Mythos за ответственное раскрытие. Пока обновления нет, рекомендуем не подсовывать curl подозрительные URL, особенно если вы используете его в серверных приложениях. Да, это как совет «не включайте компьютер в розетку», но лучше перебдеть.

Мораль для разработчиков Даже самый проверенный инструмент может преподнести сюрприз. Обновляйте зависимости, следите за CVE и не забывайте, что безопасность — это процесс, а не галочка. И да, если ваш CI/CD пайплайн использует curl для загрузки артефактов, сейчас самое время проверить, не пора ли обновиться.

Комментарий студии METABYTE: Мы тоже любим curl, но теперь будем проверять его на уязвимости чаще, чем свой кофе на наличие кофеина. Если вам нужна помощь в аудите безопасности вашего проекта — мы знаем, где искать червей.