因此,漏洞扫描程序显示,我所有机器上的 CURL 版本都已过期。有问题的环境是 Windows 10 和 Server 2019。据我所知,Windows 10 1804 是第一个发布该漏洞的版本。
据我所知,CURL 是一种使用网络协议发送数据的命令行工具。但我真的需要它吗?在什么情况下我需要在 Windows 中方便地使用 CURL 来执行操作?我知道有一些 CLI 命令,但没有人在这里调用它们 - 是否有一些用户不与之交互的后台事物在现代版本的 Windows 中需要它?我们有两台 IIS 服务器(一台托管内部站点,一台执行一些 WSUS 工作),但除此之外我没有任何线索。
这是第一次有人报告这样的事情,所以我从来没有想过我是否需要它。我可以修补它,但同时我想知道我是否最好把它去掉。不幸的是,我不知道 Windows 是否真的需要它。
答案1
我们无法告诉您贵组织是否需要 curl。六年来,Curl 一直是 Windows 操作系统的默认组件。
如果 curl 中存在漏洞,则需要由供应商(Microsoft)解决,并将其作为通常的每月累积更新的一部分。鉴于漏洞扫描器将其评定为中等,因此在每月更新中解决此问题的可能性很低。如果解决了,则可能会在年度发布中解决。
这种噪音很常见,如果您以前没有见过,如果您的扫描仪不够复杂,无法测量您将实施的解决方法或补偿控制,那么您应该习惯它。
Microsoft 提供的 curl
https://curl.se/windows/microsoft.html
开源 Curl 远程代码执行漏洞
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-43552
“CVE-2022-43552 是否会在所有受支持的 Windows 版本中得到解决?
“受支持的 Windows 版本将在未来的安全版本中更新2023 年 3 月 14 日发布后。此 CVE 将在更新可用时更新。使用安全更新指南配置文件注册自动通知。”
https://learn.microsoft.com/en-us/answers/questions/1186328/update-curl-7-88-1-windows-server