أصدر مشروع curl تحديثاً أمنياً بارزاً ضمن الإصدار 8.21.0، عالج من خلاله 18 ثغرة أمنية دفعة واحدة، مسجلاً بذلك أكبر حزمة إفصاحات أمنية في تاريخ المشروع ضمن إصدار واحد. وتأتي في مقدمة هذه الإصلاحات معالجة ثغرة قديمة جداً يعود تاريخها إلى عام 2001 في الإصدار 7.7، ما يعني بقاءها دون اكتشاف داخل هذه المكتبة الحيوية لمدة 25 عاماً.
ثغرة mTLS وإعادة استخدام الاتصال
تحمل الثغرة المعرف CVE-2026-8932، وتصنف ضمن فئة تجاوز المصادقة، وتؤثر في مكتبة libcurl، بينما أكد المشروع عدم تأثر أداة curl الخاصة بسطر الأوامر بها.
ووفقاً للإفصاح الرسمي، يكمن الخلل في آلية تجميع الاتصالات داخل المكتبة؛ حيث تسمح بإعادة استخدام اتصال سابق متاح في التجميعة، حتى في حال تغيير إعدادات المصادقة المتبادلة (mTLS) المتعلقة بشهادات العميل والمفتاح الخاص، وهو سلوك يخالف المعايير الأمنية التي تفرض منع إعادة استخدام الاتصال عند اختلاف الخصائص والمطابقات الأمنية للطرفين.
آلية الخلل ونطاق التأثير
تكمن الفجوة التقنية في غياب التحقق الدقيق من إعدادات شهادات الـ TLS الخاصة بالعميل أثناء عملية التجميع. هذا القصور تسبب في إعادة استخدام اتصالات غير متطابقة واعتبارها آمنة، مما سمح بتجاوز آلية المصادقة الثنائية والمتبادلة (mTLS) في البيئات المعتمدة عليها.
- الإصدارات المتأثرة: من الإصدار 7.7 وحتى 8.20.0.
- الإصدار الآمن: 8.21.0 فما فوق.
- تصنيف الخطورة: منخفض.
وقد أوصى المشروع كافة المطورين والجهات المستخدمة بالترقية الفورية إلى الإصدار 8.21.0، أو تطبيق الإصلاحات الأمنية وإعادة بناء المكتبة، وتجنب إعادة استخدام المقابض عند تعديل تفاصيل شهادات العميل كحل مؤقت.
أبعاد برمجية وأرقام قياسية
أشار Daniel Stenberg، مؤسس مشروع curl والمطور الرئيسي له، إلى أن هذا الإصدار يمثل رقماً قياسياً للمشروع من حيث حجم المعالجات الأمنية في حزمة واحدة وخلال عام تقويمي واحد. وأوضح أن الحساسية العالية لهذا الإفصاح، رغم تصنيفه المنخفض، تنبع من الانتشار العالمي الهائل لمكتبة libcurl التي تدخل في نحو 30 مليار تثبيت حول العالم.
وفقاً للجدول الزمني المعلن، استلم البلاغ عن الثغرة في 13 مايو 2026، وجرى نشر التنبيه الأمني بالتزامن مع إطلاق الإصدار المصحح في 24 يونيو 2026. ويعود الفضل في اكتشاف هذا الخلل ومعالجته إلى الباحث Joshua Rogers من Aisle Research.
