События

Уязвимость в libcurl приводит к раскрытию данных аутентификации

В библиотеке libcurl обнаружена уязвимость (CVE-2018-1000007), приводящая к раскрытию данных аутентификации. Проблема связана с обработкой libcurl специальных заголовков в HTTP-запросах.

Перед отправкой кастомизированных заголовков в HTTP-запросах libcurl сначала отправляет набор этих заголовков хосту в первоначальном URL-адресе. Однако если это будет редирект, и HTTP-ответ будет с кодом 30X, данные также отправятся на адрес, указанный в «Location:». Отправка того же самого набора заголовков последующим хостам является проблемой в частности для приложений, передающих кастомизированные заголовки «Authorization:». Такой заголовок обычно содержит конфиденциальную информацию или данные, с помощью которых злоумышленник может подделать запрос клиента, использующего libcurl.

Проблема затрагивает версии libcurl с 7.1 по 7.57.0 включительно. В libcurl 7.58.0 и выше уязвимость уже отсутствует. Никаких данных об эксплуатации проблемы злоумышленниками в настоящее время не поступало.

libcurl – свободная и простая в использовании клиентская библиотека для передачи данных по URL. libcurl поддерживает DICT, FILE, FTP, FTPS, GOPHER, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, TELNET и TFTP. Кроме того, в библиотеке реализована поддержка SSL сертификатов, HTTP POST, HTTP PUT, загрузок по FTP, cookie-файлов, user+password авторизации (Basic, Digest, NTLM, Negotiate, Kerberos) и пр.

Источник

Автор: Сергей Куприянов
26.01.2018 (20:11)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.