来源:[db:来源] 时间:2023-01-27 19:31:40
原标题:URL传输函式库libcurl修补存在19年的认证漏洞
功能简单但广泛被应用的URL传输函式库libcurl,日前揭露存在一个历史久远与认证有关的漏洞。目前漏洞已被修复,虽然尚未有灾害或是漏洞被不当利用的资讯传出,但是仍建议使用者儘快更新到Curl 7.58.0版本。
根据Curl专案安全资讯报告指出,libcurl处理HTTP请求自定义的标头档,有机会洩漏认证资料给第三方。当HTTP请求自定义的标头档,会将这组标头档传送给初始设定的主机,当被要求转址或是取得30X的HTTP状态码,libcurl会把标头中的值直接丢给转址的第三方。由于自定义的标头可能含有像是凭证,或是会被第三方仿效客户端的敏感资料。
这个代号为CVE-2018-1000007的安全性问题,被追溯到第一次专案提交就已存在,版本号在Curl 6.0之前都可能被影响。此漏洞在Curl 7.58.0版本后被修正,往后标头档只会传送给初始的URL,除非使用CURLOPT_UNRESTRICTED_AUTH选项,也就是说libcurl需要有特别授权,在命令列工具下--location-trusted指令,标头档才能被转送到第三方。
报告建议使用者更新到Curl 7.58.0版本,或是依照版本使用补丁,重新建立程式。如果使用自定义标头档,还建议关闭CURLOPT_FOLLOWLOCATION选项。
相关推荐
猜你喜欢