2023/04/25

Windows 標準搭載の cURL が ver 8.0.1 (たぶん CVE-2022-43552 対策済み) に、2023-04 B で

2023 年 4 月の Bリリースで、cURL のバージョンが更新されてます。

Windows 11 v22H2 の場合、GA (22621.674) ~ 2023-03 C (22621.1485←新 cURL はセキュリティ更新だと思うのでこれには含まれなかったっぽい) までは、

C:\Windows\System32>curl -V
curl 7.83.1 (Windows) libcurl/7.83.1 Schannel
Release-Date: 2022-05-13
Protocols: dict file ftp ftps http https imap imaps pop3 pop3s smtp smtps telnet tftp
Features: AsynchDNS HSTS IPv6 Kerberos Largefile NTLM SPNEGO SSL SSPI UnixSockets

2023-04 B (22621.1555) 後、

C:\Windows\System32>curl -V
curl 8.0.1 (Windows) libcurl/8.0.1 Schannel WinIDN
Release-Date: 2023-03-20
Protocols: dict file ftp ftps http https imap imaps pop3 pop3s smtp smtps telnet tftp
Features: AsynchDNS HSTS HTTPS-proxy IDN IPv6 Kerberos Largefile NTLM SPNEGO SSL SSPI threadsafe Unicode UnixSockets

2022 年 12 月に公表された CVE-2022-43552 (https://nvd.nist.gov/vuln/detail/CVE-2022-43552https://curl.se/docs/CVE-2022-43552.html) の脆弱性 (curl 7.16.0 ~ 7.86.0) に対応したものらしい。

参考: https://daniel.haxx.se/blog/2023/04/24/deleting-system32curl-exe/

でも、April 11, 2023—KB5025239 (OS Build 22621.1555) のリリース ノートには記述なく、MSRC (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-43552 ) も 未更新(4/12 に FAQ が更新されてるけど、解決済みにはなっていない?)(← 4/27 CVE ページ消え去る)(←4/28 CVE ページ復活)

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。