{"id":288175,"date":"2023-11-14T00:01:00","date_gmt":"2023-11-13T23:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=288175"},"modified":"2024-04-08T20:07:01","modified_gmt":"2024-04-08T18:07:01","slug":"curl-8-4-0-0-kommt-zum-14-november-2023-patchday-fr-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/11\/14\/curl-8-4-0-0-kommt-zum-14-november-2023-patchday-fr-windows\/","title":{"rendered":"Windows: cURL 8.4.0 Update kommt zum 14. November 2023-Patchday"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/11\/14\/windows-curl-8-4-0-update-coming-on-november-14-2023-patch-day\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]In der Bibliothek und im Tool cURL gibt es in \u00e4lteren Versionen eine Schwachstelle, die vom Projekt am 11. Oktober 2023 mit der Version 8.4.0 geschlossen wurde. Microsoft liefert cURL mit Windows aus, hat diese Version bisher aber nicht aktualisiert. Mein Stand ist, dass in Windows auch nach den Oktober 2023-Updates die veraltete cURL-Version enthalten ist. Nun liegt mir die Information vor, dass Microsoft zum 14. November 2023 cURL 8.4.0 mit den Windows-Updates ausliefern will.<\/p>\n<p><!--more--><\/p>\n<h2>Was ist cURL?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/6507fde094af4d3ab0cc09b770ba5c3f\" alt=\"\" width=\"1\" height=\"1\" \/><a href=\"https:\/\/de.wikipedia.org\/wiki\/CURL\" target=\"_blank\" rel=\"noopener\">cURL<\/a> (steht f\u00fcr Client for URLs oder Curl URL Request Library) ist einerseits eine Programmbibliothek und gleichzeitig ein Kommandozeilen-Programm zum \u00dcbertragen von Dateien in Rechnernetzen. cURL steht unter der offenen MIT-Lizenz und wurde auf verschiedene Betriebssysteme portiert.<\/p>\n<h2>Die Schwachstelle CVE-2023-38545<\/h2>\n<p>In \u00e4lteren Version von cURL gibt es Schwachstellen. Daniel Stenberg hatte Anfang Oktober 2023 eine <a href=\"https:\/\/github.com\/curl\/curl\/discussions\/12026\" target=\"_blank\" rel=\"noopener\">Vorwarnung ver\u00f6ffentlicht<\/a>, in der er von einer Sicherheitsl\u00fccke schrieb, die mit Version 8.0.4 beseitigt werden sollte. Inzwischen gibt es die Ver\u00f6ffentlichung <a href=\"https:\/\/jfrog.com\/blog\/curl-libcurl-october-2023-vulns-all-you-need-to-know\/\" target=\"_blank\" rel=\"noopener\">CVE-2023-38545 &amp; CVE-2023-38546 Curl and libcurl Vulnerabilities: All you need to know<\/a>, die mehr Informationen zu den Schwachstellen offen legt (Bleeping Computer hat <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/hyped-up-curl-vulnerability-falls-short-of-expectations\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> drauf hingewiesen). Eine dieser Schwachstellen wird als wenig schwerwiegend eingestuft (CVE-2023-38546), w\u00e4hrend die zweite als hochgradig schwerwiegend gilt (CVE-2023-38545).<\/p>\n<ul>\n<li>CVE-2023-38545 ist eine schwerwiegende Sicherheitsl\u00fccke, die sowohl das Befehlszeilentool cURL als auch libcurl betrifft. Betroffene Versionen sind Curl und libcurl von 7.69.0 bis einschlie\u00dflich 8.3.0.<\/li>\n<li>CVE-2023-38546 ist eine Sicherheitsl\u00fccke mit geringem Schweregrad, die nur die Bibliothek libcurl betrifft. Betroffen sind libcurl Versionen von 7.9.1 bis einschlie\u00dflich 8.3.0.<\/li>\n<\/ul>\n<p>CVE-2023-38545 ist eine Heap-\u00dcberlauf-Schwachstelle, die m\u00f6glicherweise f\u00fcr die Remote-Code-Ausf\u00fchrung (RCE) ausgenutzt werden kann. Die Schwachstelle CVE-2023-38545 kann laut obigem Artikel unter Standardbedingungen nicht ausgenutzt werden. Die libcurl-Bibliothek ist nur verwundbar, wenn sie auf eine der im obigen Artikel beschriebenen Arten verwendet wird. Zusammengefasst: Noch ist die cURL-Schwachstelle nicht am Brennen.<\/p>\n<h2>curl in Windows 10\/11<\/h2>\n<p>Microsoft liefert cURL seit 2017 mit Windows 10 (und auch in Windows 11) mit, wie man in <a href=\"https:\/\/curl.se\/windows\/microsoft.html\" target=\"_blank\" rel=\"noopener\">diesen Artikel<\/a> auf der cURL-Webseite, sowie dem Blog-Beitrag <a href=\"https:\/\/web.archive.org\/web\/20240114164407\/https:\/\/learn.microsoft.com\/en-us\/virtualization\/community\/team-blog\/2017\/20171219-tar-and-curl-come-to-windows\" target=\"_blank\" rel=\"noopener\">Tar and Curl Come to Windows<\/a> von Microsoft, der letztmalig am 17. M\u00e4rz 2023 aktualisiert wurde, lesen kann. Ich hatte es im Dezember 2017 im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/12\/23\/windows-10-tar-und-curl-sollen-kommen\/\">Windows 10: tar und curl sollen kommen<\/a> angesprochen. Auf der cURL-Webseite hei\u00dft es dazu:<\/p>\n<blockquote><p>All installs of Microsoft Windows 10 and Windows 11 get curl installed by default since then. The initial curl version Microsoft shipped was 7.55.1 but it was upgraded to 7.79.1 in January 2022.<\/p>\n<p>The Microsoft provided version is built to use the Schannel TLS backend. [\u2026]<\/p>\n<p>The curl tool shipped with Windows is built by and handled by Microsoft. It is a separate build that will have different features and capabilities enabled and disabled compared to the <a href=\"https:\/\/curl.se\/windows\/\" target=\"_blank\" rel=\"noopener\">Windows builds<\/a> offered by the curl project. They do however build curl from the same source code. If you have problems with their curl version, report that to them.<\/p>\n<p>You can probably assume that the curl packages from Microsoft will always lag behind the versions provided by the curl project itself.<\/p><\/blockquote>\n<p>cURL for Windows ist laut der <a href=\"https:\/\/curl.se\/windows\/\" target=\"_blank\" rel=\"noopener\">cURL-Webseite<\/a> am 11. Oktober 2023 auf die Version 8.4.0 aktualisiert worden. Frage ich die cURL-Version unter einem Windows 10 mit aktuellem Patchstand mit dem Konsolenbefehl <em>curl -V <\/em>ab, erhalte ich diese Anzeige:<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2023\/10\/Curl.jpg\" \/><\/p>\n<p>In Windows 10 mit Patchstand Oktober 2023 wird z.B. die Version 8.0.1 angezeigt, w\u00e4hrend eigentlich die Version 8.4.0 erforderlich w\u00e4re.<\/p>\n<h2>cURL 8.4.0-Update am 14. November 2023<\/h2>\n<p>Das fehlende cURL-Update ist auch anderen Leuten aufgefallen. Im Microsoft Q&amp;A-Beitrag <a href=\"https:\/\/learn.microsoft.com\/en-us\/answers\/questions\/1406403\/patch-for-curl-8-4-0-cve-2023-38545-eta\" target=\"_blank\" rel=\"noopener\">Patch for cURL 8.4.0 CVE-2023-38545 ETA?<\/a> hatte jemand zum 27. Oktober 2023 gefragt, wann denn mit einem Update von cURL zu rechnen w\u00e4re. Nun hat mich Blog-Leser Marco auf BlueSky dar\u00fcber informiert, dass cURL 8.4.0 in den 2023-1 LCUs enthalten sei (danke daf\u00fcr). Nachfolgend der Screenshot der betreffenden Benachrichtigung.<\/p>\n<p><a href=\"https:\/\/learn.microsoft.com\/en-us\/answers\/questions\/1406403\/patch-for-curl-8-4-0-cve-2023-38545-eta\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"curl update in Windows\" src=\"https:\/\/i.postimg.cc\/P5TByMFF\/image.png\" alt=\"curl update in Windows\" \/><\/a><\/p>\n<p>abboddi86 hat in einem Post vom 12. November angegeben, dass mit den folgenden kumulativen Updates auch das cURL-Paket auf 8.4.0 aktualisiert wird.<\/p>\n<ul>\n<li>KB5032196: Win10 1809<\/li>\n<li>KB5032189: Win10 22H2<\/li>\n<li>KB5032198: Server 2022<\/li>\n<li>KB5032192: Win11 21H2<\/li>\n<li>KB5032190: Win11 22H2\/23H2<\/li>\n<li>KB5032202: Server 23H2<\/li>\n<\/ul>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/02\/25\/windows-microsoft-liefert-curl-bibliothek-weiterhin-mit-schwachstellen-aus-feb-2023\/\">Windows: Microsoft liefert cURL-Bibliothek weiterhin mit Schwachstellen aus (Feb. 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/05\/08\/windows-und-die-curl-falle-gelschte-curl-instanz-macht-windows-update-kaputt\/\">Windows und die cURL-Falle; gel\u00f6schte Curl-Instanz macht Windows-Update kaputt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In der Bibliothek und im Tool cURL gibt es in \u00e4lteren Versionen eine Schwachstelle, die vom Projekt am 11. Oktober 2023 mit der Version 8.4.0 geschlossen wurde. Microsoft liefert cURL mit Windows aus, hat diese Version bisher aber nicht aktualisiert. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/11\/14\/curl-8-4-0-0-kommt-zum-14-november-2023-patchday-fr-windows\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301],"tags":[8429,4328,4315,3288],"class_list":["post-288175","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","tag-curl","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288175","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=288175"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288175\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=288175"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=288175"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=288175"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}