功能簡單但廣泛被應用的URL傳輸函式庫libcurl,日前揭露存在一個歷史久遠與認證有關的漏洞。目前漏洞已被修復,雖然尚未有災害或是漏洞被不當利用的資訊傳出,但是仍建議使用者儘快更新到Curl 7.58.0版本。

根據Curl專案安全資訊報告指出,libcurl處理HTTP請求自定義的標頭檔,有機會洩漏認證資料給第三方。當HTTP請求自定義的標頭檔,會將這組標頭檔傳送給初始設定的主機,當被要求轉址或是取得30X的HTTP狀態碼,libcurl會把標頭中的值直接丟給轉址的第三方。由於自定義的標頭可能含有像是憑證,或是會被第三方仿效客戶端的敏感資料。

這個代號為CVE-2018-1000007的安全性問題,被追溯到第一次專案提交就已存在,版本號在Curl 6.0之前都可能被影響。此漏洞在Curl 7.58.0版本後被修正,往後標頭檔只會傳送給初始的URL,除非使用CURLOPT_UNRESTRICTED_AUTH選項,也就是說libcurl需要有特別授權,在命令列工具下--location-trusted指令,標頭檔才能被轉送到第三方。

報告建議使用者更新到Curl 7.58.0版本,或是依照版本使用補丁,重新建立程式。如果使用自定義標頭檔,還建議關閉CURLOPT_FOLLOWLOCATION選項。


Advertisement

更多 iThome相關內容