Début février 2024, une faille critique a été identifiée dans cURL 8.5.0, la bibliothèque open-source largement utilisée pour les connexions HTTP, FTP et HTTPS. Cette vulnérabilité, touchant également la version libcurl, affecte un volume massif de serveurs Linux, de conteneurs Docker et d’applications PHP s’appuyant sur les fonctions
curl_exec()
ou
curl_multi_exec()
.
La faille consiste en un dépassement de tampon dans certaines conditions spécifiques, mais suffisamment courantes pour représenter un risque réel. Un attaquant pourrait exploiter ce bug via une requête malformée ou un serveur distant compromis, entraînant potentiellement un crash ou une exécution de code arbitraire.
Les mainteneurs ont rapidement réagi en publiant un correctif dans la version 8.6.0, mais comme toujours, le vrai problème réside dans la propagation : beaucoup de serveurs tournent sur des versions figées de cURL, dépendantes de leur distribution Linux. Certaines distributions n’ont d’ailleurs pas intégré le correctif dans leurs dépôts pendant plusieurs jours, laissant des environnements vulnérables.
Il est recommandé aux administrateurs de vérifier manuellement la version de la bibliothèque, de surveiller leurs dépôts, et — lorsque c’est possible — d’effectuer une mise à jour forcée. Les environnements Docker doivent être reconstruits, et les plateformes PHP doivent être testées après mise à jour pour éviter les régressions. La précaution est indispensable, surtout pour les API en production manipulant des données sensibles.
Cette situation rappelle à quel point les briques d’infrastructure “invisibles” comme cURL peuvent représenter des risques majeurs en cas de faille critique. Trop souvent ignorées, elles méritent un suivi de sécurité attentif.
