1996 yılında Daniel Stenberg yönetimindeki ilk çıkışından bu yana, curl aracı önemli evrimsel dönüşümlerden geçerek ağ veri aktarımı ve güvenliğinin karmaşık ve değişen taleplerine ustaca yanıt verdi. Çeşitli gelişim aşamalarından geçen curl, veri aktarım protokollerinin ayrılmaz bir parçası haline geldi ve farklı platformlar ve uygulamalardaki çok sayıda kullanıcı için vazgeçilmez oldu.
5 Ekim 2023’te Stenberg, curl sınırları içinde keşfedilen iki önemli güvenlik açığına ışık tutan gelişmiş bir bildirim yayınladı. İkisinden biri “YÜKSEK” ciddiyet etiketiyle damgalanmış, bu da ciddi hasar verme potansiyeline işaret ediyor ve bu da onu yakın zamandaki curl geçmişinde tespit edilen en ciddi güvenlik açıklarından biri haline getiriyor.
Curl ve kütüphane sürümü libcurl, ağ veri aktarımı alanında etkilidir; curl bir komut satırı arayüz aracı olarak görev yapar ve libcurl destekleyici bir kütüphane görevi görür ve çeşitli uygulamalara ağ veri aktarımlarını yürütme yeterliliğini kazandırır.
HTTP, HTTPS, FTP, FTPS, SFTP, SCP, TFTP ve diğerlerini kapsayan geniş bir protokol kümesini yönetme becerisiyle curl, hem bireyler hem de kuruluşlar tarafından yaygın olarak kullanılan, her yerde bulunan bir varlık olarak kendisini sağlam bir şekilde kanıtlamıştır. Linux dağıtımlarının çoğunda temel bir öğedir ve hem macOS hem de Windows ile uyumluluğu korur. Ek olarak, libcurl, çok yönlü işlevselliği ile çok sayıda yazılım uygulamasına derinlemesine yerleşmiş olup, birkaçını saymak gerekirse web tarayıcılarına, indirme yöneticilerine ve dosya aktarım istemcilerine vazgeçilmez hizmetler sağlar.
Curl 8.4.0 sürümünün piyasaya sürülmesi ufukta olduğundan, ikiz CVE’lerle ilgili titiz ayrıntıların 11 Ekim 2023’te açıklanması planlanıyor. libcurl’da tespit edilen güvenlik açığı, olası yaygın sonuçları göz önüne alındığında özellikle endişe verici. Bununla birlikte, bu güvenlik açığını tetikleyecek kesin koşullar hâlâ belirsiz olduğundan, yakın risk altındaki kullanıcı tabanını tam olarak belirleme çabası karmaşıklaşıyor.
Daha fazla açıklamak gerekirse, CVE-2023-38545, libcurl ve curl aracını aynı anda etkileyen, oldukça ciddi bir güvenlik açığıdır. Oluşturduğu tehdit inkar edilemeyecek kadar büyük olsa da, tüm kullanıcılar üzerinde geniş bir ağ oluşturmadığını kabul etmek zorunludur. Öte yandan, CVE-2023-38546, etkisi yalnızca libcurl ile sınırlı olduğundan, daha düşük önem derecesine sahip bir güvenlik açığı olarak belirlenmiştir.
Proaktif bir karşı önlem olarak, kullanıcılardan, resmi sürümün yayınlanmasından sonraki en erken zamanda curl 8.4.0 sürümüne yükseltme işlemini başlatmaları kesinlikle isteniyor. Bu hızlandırılmış geçiş yalnızca tavsiye edilmekle kalmıyor, aynı zamanda bu güvenlik açıklarının oluşturduğu yaklaşan tehditlere karşı kullanıcı savunmasını güçlendirmek için tasarlanmış zorunlu bir koruyucu manevradır. Yakında gerçekleşecek olan bu yükseltme, yalnızca sunmayı vaat ettiği gelişmiş özelliklerden yararlanmak için değil, daha da önemlisi, yeni ortaya çıkarılan bu güvenlik açıklarından kaynaklanan potansiyel ihlalleri etkisiz hale getirebilecek sağlam bir güvenlik barikatının kurulması için de gereklidir.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacısı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.