功能簡單但廣泛被應用的URL傳輸函式庫libcurl,日前揭露存在一個歷史久遠與認證有關的漏洞。目前漏洞已被修復,雖然尚未有災害或是漏洞被不當利用的資訊傳出,但是仍建議使用者儘快更新到Curl 7.58.0版本。
根據Curl專案安全資訊報告指出,libcurl處理HTTP請求自定義的標頭檔,有機會洩漏認證資料給第三方。當HTTP請求自定義的標頭檔,會將這組標頭檔傳送給初始設定的主機,當被要求轉址或是取得30X的HTTP狀態碼,libcurl會把標頭中的值直接丟給轉址的第三方。由於自定義的標頭可能含有像是憑證,或是會被第三方仿效客戶端的敏感資料。
這個代號為CVE-2018-1000007的安全性問題,被追溯到第一次專案提交就已存在,版本號在Curl 6.0之前都可能被影響。此漏洞在Curl 7.58.0版本後被修正,往後標頭檔只會傳送給初始的URL,除非使用CURLOPT_UNRESTRICTED_AUTH選項,也就是說libcurl需要有特別授權,在命令列工具下--location-trusted指令,標頭檔才能被轉送到第三方。
報告建議使用者更新到Curl 7.58.0版本,或是依照版本使用補丁,重新建立程式。如果使用自定義標頭檔,還建議關閉CURLOPT_FOLLOWLOCATION選項。
from iThome 新聞 http://ift.tt/2DDroQY
運動彩券 | 最高返水0.98精彩運動MLB、NBA比賽、直播
六合彩球 | 香港六合彩、大樂透、威力彩、今彩539
真人娛樂場 | 百家樂、德州撲克、麻將遊戲、21點、13支
電子遊戲 | 水果盤、捕魚達人千炮版、骰寶、輪盤
黃金期權 | 全新開放 、 股市 、 黃金 、 外幣
百鬼夜行 | 30線、4500倍、拉霸、五鬼運財
沒有留言:
張貼留言