Nieuws
image

Curl accepteert een maand lang geen meldingen van beveiligingslekken

maandag 15 juni 2026, 09:29 door Redactie, 9 reacties

Het curl-project accepteert een maand lang geen meldingen van beveiligingslekken in de software, zo heeft maintainer Daniel Stenberg aangekondigd. Volgens Stenberg moet de maatregel ervoor zorgen dat het ontwikkelteam op adem kan komen en verschillende zaken voor de aankomende release al kunnen worden opgepakt. Curl is een zeer veel gebruikte library en command-line tool voor het versturen en ontvangen van data via verschillende netwerkprotocollen.

Stenberg stelt dat curl geïnstalleerd is op meer dan twintig miljard instances wereldwijd. "Het draait op meer dan 110 besturingssystemen en 28 CPU-architecturen. Het draait op elke smartphone, tablet, auto, TV, spelcomputer en server op aarde", aldus de maintainer. Die stelt dat het ontwikkelteam al een aantal weken onder grote druk staat. Curl kent relatief weinig kwetsbaarheden, maar door AI is het aantal gevonden problemen de laatste tijd sterk toegenomen. Beveiligingslekken die het ontwikkelteam weer moet verhelpen.

"Het is nu even tijd voor rust", aldus Stenberg. "We verwachten niet dat deze stortvloed snel voorbij zal zijn." Kwetsbaarheden in curl kunnen worden gemeld via het bugbountyplatform HackerOne. Een maand lang, van 1 juli tot 3 augustus, zullen er geen nieuwe bugmeldingen worden geaccepteerd. Ook het security-e-mailadres van curl is een 'dead end', voegt Stenberg toe. Die merkt op dat aanvallers waarschijnlijk geen vakantie nemen. "Maar wij wel." De issue en pull-request trackers van curl op GitHub blijven wel actief en open. Partijen met een betaald onderhoudscontract zullen tijdens de aankomende periode gewoon op support kunnen blijven rekenen.

Reacties (9)
Reageer met quote
Vandaag, 09:41 door Anoniem
Als AI zo slim is, waarom verzint het dan geen fixes voor Curl?
Reageer met quote
Vandaag, 10:18 door Anoniem
Door Anoniem: Als AI zo slim is, waarom verzint het dan geen fixes voor Curl?

Wie zegt dat AI daarvoor slim genoeg is ?

Maar je kunt best bagger laten hallucineren en dat een fix noemen.
Reageer met quote
Vandaag, 10:33 door Anoniem
Door Anoniem: Als AI zo slim is, waarom verzint het dan geen fixes voor Curl?
AI is als een begaafde junior programmeur, onbekend met waarom een applicatie op een specifieke manier is opgezet.
Je hebt een ervaren senior nodig op de voorgestelde fixes te reviewen en de AI te vertellen hoe het dan wel moet.

Kennelijk heeft curl haar ervaren mensen nodig voor andere zaken dan bug-triage.
Reageer met quote
Vandaag, 11:18 door Anoniem
Oef, lastig dit!
Als iemand zich niet meer gehoord voelt welke stappen neemt deze partij dan?
Als curl het niet meer willen accepteren dan worden kwetsbaarheden misschien wel elders gepubliceerd of verkocht puur omdat zij het er niet meer eens zijn.

Voor de langere termijn is dit sowieso geen oplossing en je kan niet een aantal keren per jaar zeggen, ik accepteer ze even niet. Of ze nu een hoge score hebben of wellicht niet eens echt een gevaar vormen.
Elk bedrijf krijgt hiermee te maken en zal teams moeten gaan inrichten die dit als specialisme hebben en zich verder met niets anders bezig houden anders wordt het echt een te groot gevaar.
Reageer met quote
Vandaag, 11:52 door Anoniem
Door Anoniem: Als AI zo slim is, waarom verzint het dan geen fixes voor Curl?
Zoek eens naar Curl op deze site:
https://www.security.nl/search?origin=frontpage&keywords=Curl
Dan zie je onder meer:
- Curl patcht bij komende release recordaantal door AI gevonden kwetsbaarheden
- Curl ontving als gevolg van AI bijna alleen nog maar fake bugmeldingen
- Curl stopt wegens AI-gegenereerde bugmeldingen met bugbountyprogramma
- Curl maakt opnieuw door 'AI' verzonnen bugmelding openbaar
Reageer met quote
Vandaag, 13:55 door Anoniem
Stenberg heeft volledig gelijk. Ook open source teams hebben recht op een normaal leven.
Support nodig? Betaal er maar voor. You get what you pay for.
Reageer met quote
Vandaag, 14:08 door Anoniem
sudo apt purge curl

Soms zijn zaken erg simpel.
Reageer met quote
Vandaag, 14:59 door Anoniem
Door Anoniem: sudo apt purge curl

Soms zijn zaken erg simpel.
Soms, maar het wordt wat minder simpel als curl of libcurl in allerlei systemen die productie draaien gebruikt wordt voor gegevensuitwisselingen die frequent plaatsvinden. Dan werkt er na jouw actie opeens van alles niet meer waarvan de bedoeling is dat het wel blijft werken.

Curl zegt er zelf dit over:
curl is used in command lines or scripts to transfer data. curl is also libcurl, used in cars, television sets, routers, printers, audio equipment, mobile phones, tablets, medical devices, settop boxes, computer games, media players and is the Internet transfer engine for countless software applications in over twenty billion installations.
https://curl.se/

Twintig miljard dingen die niet meer zouden werken als je het zou weghalen... Da's best een hoop. Pas jij dat even aan?
Reageer met quote
Vandaag, 18:38 door Anoniem
Door Anoniem: sudo apt purge curl

Soms zijn zaken erg simpel.

ma jun 15 18:38:12
bot@workstation~ $ sudo apt purge curl
[sudo] password for bot:
sudo: apt: command not found

ma jun 15 18:38:20
bot@workstation~ $
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Vacature Digital Designer Certified Secure
Certified Secure GenAI Deep Dive Security Training