吉林省通信管理局

此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

网安要闻
当前位置: 首页 网安要闻
名称:  URL传输库libcurl现多个漏洞或致敏感信息泄露,最早可追溯至1999年
索引:  K08260953/2018-03187 发布机构:  吉林省通信管理局办公室
生成日期:  2018-2-6 0:00:00 文号:  
信息分类:   关键词:  
内容概述:  URL传输库libcurl现多个漏洞或致敏感信息泄露,最早可追溯至1999年
URL传输库libcurl现多个漏洞或致敏感信息泄露,最早可追溯至1999年
发布时间:2018-2-6 0:00:00  

  外媒1月25日消息,研究人员发现客户端URL传输库libcurl正受到一些漏洞影响。其中一个在很大程度上与HTTP请求中处理自定义标头的方式有关,可能会导致认证数据泄露给第三方。除此之外,一个“HTTP/2trailerout-of-boundsread”的漏洞也对libcurl造成了一定困扰。
  HTTP请求中处理自定义标头
  当被要求在HTTP请求中发送自定义标头时,libcurl会首先将这组标头发送给初始URL中的主机。但若被要求遵循重定向,并且返回一个30X的HTTP响应代码,那么libcurl则会发送给响应头值中的URL所提及的主机。
  研究人员称,将同一组标头发送到子序列主机对于传递自定义Authorization的应用程序来说是一个特殊的问题。因为这组标头通常包含敏感的信息和数据,可能会被攻击者滥用来模拟libcurl-using客户端请求。
  这一漏洞被跟踪为CVE-2018-1000007,在1999年就已出现。目前受影响的是libcurl7.1至7.57.0的版本,后续版本(7.58.0)不受影响。
  HTTP/2trailer越界读取漏洞
  进行访问时数据会被越界读取,从而导致崩溃或者(太大的)数据被传递给libcurl回调。若有人的服务能够响应或使用trailer头域,那么很可能会导致拒绝服务或信息泄露的情况出现。
  该漏洞被跟踪为CVE-2018-1000005,影响libcurl7.49.0至7.57.0的版本。所幸目前研究人员并没有发现到这个漏洞在野外被利用。

  (新闻来源:HackerNews网
  
http://hackernews.cc/archives/20256