URL传输库libcurl现多个漏洞或致敏感信息泄露

2018-01-29 16:45 标签: 数据泄露,敏感信息泄露

  外媒1月25日消息,研究人员发现客户端URL传输库libcurl正受到一些漏洞影响。其中一个在很大程度上与HTTP请求中处理自定义标头的方式有关,可能会导致认证数据泄露给第三方。除此之外,一个HTTP/2trailerout-of-boundsread的漏洞也对libcurl造成了一定困扰。

URL传输库libcurl现多个漏洞或致敏感信息泄露

  HTTP请求中处理自定义标头

  当被要求在HTTP请求中发送自定义标头时,libcurl会首先将这组标头发送给初始URL中的主机。但若被要求遵循重定向,并且返回一个30X的HTTP响应代码,那么libcurl则会发送给响应头值中的URL所提及的主机。

  研究人员称,将同一组标头发送到子序列主机对于传递自定义Authorization的应用程序来说是一个特殊的问题。因为这组标头通常包含敏感的信息和数据,可能会被攻击者滥用来模拟libcurl-using客户端请求。

  这一漏洞被跟踪为CVE-2018-1000007,在1999年就已出现。目前受影响的是libcurl7.1至7.57.0的版本,后续版本(7.58.0)不受影响。

  HTTP/2trailer越界读取漏洞

  进行访问时数据会被越界读取,从而导致崩溃或者(太大的)数据被传递给libcurl回调。若有人的服务能够响应或使用trailer头域,那么很可能会导致拒绝服务或信息泄露的情况出现。

  该漏洞被跟踪为CVE-2018-1000005,影响libcurl7.49.0至7.57.0的版本。所幸目前研究人员并没有发现到这个漏洞在野外被利用。

  消息来源:SecurityAffairs,HackerNews.cc

  以上为正文内容。

  网堤安全-专业的云安全解决方案综合服务商!

  转载请注明:网堤安全https://www.ddos.com

 

 

 

行业资讯 Industry Information

关于我们

About Us