2019年刘伯温全年资料_*48.9倍超高赔率*-首页

当前位置:2019年刘伯温全年资料 > 产品大厅 >

URL传输库libcurl修补了一个19年的身份验证漏洞

文章出处:admin 人气:发表时间:2019-04-01 11:12

简单但广泛使用的URL传输库libcurl揭示了与身份验证相关的漏洞的悠久历史。目前,漏洞已得到修复。虽然没有关于不当使用漏洞的灾难或信息,但建议用户尽快更新到Curl 7.58.0。

根据Curl项目安全信息报告,libcurl处理HTTP请求自定义头文件,并有机会将身份验证信息泄露给第三方。当HTTP请求自定义头文件时,头文件集将传输到初始设置的主机。当被要求转发或获取30X HTTP状态代码时,libcurl将直接将标头中的值抛给第三方进行传输。因为自定义标头可能包含将由第三方模拟的凭据或敏感数据。

代号为CVE-2019-1000007的安全问题可追溯到第一个项目提交,版本号可能会在Curl 6.0之前受到影响。此漏洞在Curl 7.58.0之后得到修复,除非使用CURLOPT_UNRESTRICTED_AUTH选项,否则头文件只会传递给初始URL,这意味着libcurl需要特殊授权,在命令行工具下--location-trusted命令头文件可以转发给第三方。

该报告建议用户更新到Curl 7.58.0或使用该补丁重新创建该程序。如果使用自定义头文件,还建议关闭CURLOPT_FOLLOWLOCATION选项。

iThome安全

此文关键字:URL,传输,库,libcurl,修补,了,一个,年的,身份

同类文章排行

最新资讯文章