【腾讯云代码分析】libcurl高危漏洞扫描规则包

官网地址：https://tca.tencent.com/

官网介绍：https://cloud.tencent.com/product/tcap 官方开源：（点击最下方【阅读原文】可直达）https://github.com/Tencent/CodeAnalysis 国内镜像：https://git.code.tencent.com/Tencent_Open_Source/CodeAnalysis

背景介绍

▼

libcur（Library Component Repository）是一个用于在 Linux 系统中管理组件的库。

curl用于在网络上获取或发送数据。它支持非常多的协议，包括 HTTP、HTTPS、FTP、FTPS、SFTP、LDAP、SMTP、POP3、IMAP、RTSP、RTMP等。

2023年10月13日，官方发布了curl的8.4.0版本，其中包含修复两个漏洞。

两个漏洞的CVE编号：

• CVE-2023-38545（高危）
• CVE-2023-38546

影响范围：libcurl 7.69.0至8.3.0 （含）

影响等级：高

修复建议：

A - 将curl升级到版本8.4.0

B - 将补丁应用到本地版本

C - 不要将CURLPROXY_SOCKS5_HOSTNAME代理与curl一起使用

D - 不要将代理环境变量设置为socks5h://

*信息参考自：https://curl.se/docs/CVE-2023-38545.html

规则包介绍

▼

检查 libcurl 组件漏洞。检测项目是否使用 libcurl 组件的高危版本。

适用语言：Cpp, Go, Java, Js, Kotlin, Lua, Oc, PHP, Python, Ruby, Scala, Swift, Ts, Dart, Rust

启用规则包：

分析方案 -> 代码检查 -> libcurl 漏洞 -> 启用/查看规则

关注我们，

持续为您的代码助力！