libcurl 信息泄露漏洞(CVE-2018-1000007)

最新推荐文章于 2024-05-07 10:09:16 发布
最新推荐文章于 2024-05-07 10:09:16 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: 系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanghongcai/article/details/86591609
版权

libcurl 7.1到7.57.0可能会意外地将身份验证数据泄漏给第三方。当被要求在其HTTP请求中发送自定义报文头时,libcurl会首先将报文头发送到初始URL中的主机,但如果被要求遵循重定向并返回30X HTTP响应代码,则会将该headers发送到URL中提到的主机`Location:`响应header的值。发送相同的头文件到随后的主机对于传递自定义`Authorization:`HTTP 报文头的应用程序是个严重的问题,因为这个报文头通常包含隐私敏感信息或数据,这些信息或数据可能允许其他人获取敏感信息并模仿libcurl使用客户端的请求。

 

系统centos7

解决:

 1、更新yum资源列表

 yum clean all

yum makecache

2、更新 libcurl

yum update libcurl

 

Version     : 7.29.0
Release     : 51.el7

 

 

张洪財
关注
专栏目录
CVE-2018-0802漏洞分析报告
weixin_44279850的博客
12-27 1439
漏洞poc https://github.com/rxwx/CVE-2018-0802 打开文档,会弹出一个计算器 漏洞复现 环境:office2007,x32dbg,010editor 安装公式编辑器3.0的补丁。 这个补丁修复了cve-2017-11882这个漏洞 证明:打开利用cve-2017-11882的文档并没有再弹出计算器 然后word打开公式编辑器3.0,附加于x32dbg进...
SSH服务器CBC漏洞(CVE-2008-5161)
最新发布
weixin_53389944的博客
07-11 642
OpenSSH 是一种开放源代码的SSH协议的实现,初始版本用于OpenBSD平台,现在已经被移植到多种Unix/Linux类操作系统下,Linux环境中一般采用AES这种算法加密,AES有五种加密模式(CBC、ECB、CTR、OCF、CFB),系统默认会选择CBC的加密模式。CBC模式是一种常用的对称加密模式,在加密数据块时,每个数据块都与前一个数据块进行异或运算,然后再进行加密。然而,该漏洞揭示了CBC模式在某些情况下的安全性问题。
centos漏洞系列(十一):LibCurl IMAP响应处理不当导致缓冲区溢出漏洞
gosenkle的专栏
11-03 2119
简介: IMAP的FETCH响应包含了指示返回数据长度的数据,当响应中显示返回数据长度为0字节时,libcurl也会为这段不存在的数据分配一个指针和一个为0的长度,并将这些内容传递给deliver-data函数,libcurl的deliver-data函数把0作为魔术数处理,对0字节的数据调用strlen()以获取长度。在堆上调用strlen()可能导致读取到未正确使用null截断的内容,导致li...
libcurl 存在内存溢出问题
网瘾少年丶的博客
05-07 308
libcurl 7.69.0 ~ 8.3.0版本,不受漏洞影响的版本:libcurl < 7.69.0 和 >= 8.4.0 (问题记录)
注意!开源命令行工具Curl 中存在严重漏洞
smellycat000的专栏
10-09 832
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长...
赶紧排查!libcurl高危漏洞来了!
IT界那些事儿
10-09 2021
但注意,在curl新版本发布之前,关于这两个漏洞信息,作者半个字都不会说。他的twitter中写的很清楚,甚至连这两个漏洞影响哪些版本都不会透露,防止大家根据这点信息去比较版本更新历史,找到这两个漏洞。如果仅仅是curl暴漏洞也不是什么大事,最关键的是,它的底层库 libcurl 被广泛应用于各种软件和项目中,使得开发者能够在其应用程序中进行网络交互。轩辕之前做C/C++开发中,就经常用到这个库。即便你没有直接引用,但你用到的一些中间件中,也很有可能间接用到了这个库,这样算下来,其影响面就非常广了。
libcurl-minimal-7.61.1-22.el8.x86_64.rpm
12-07
官方离线安装包,亲测可用
libcurl-devel-7.29.0-59.el7.x86_64.rpm
12-15
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
libcurl-devel-7.29.0-51.el7.x86_64.rpm
11-30
离线安装包,亲测可用
libcurl-minimal-7.61.1-22.el8.aarch64.rpm
12-07
离线安装包,亲测可用
libcurl-devel-7.29.0-59.el7.i686.rpm
12-15
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
PHP CURL 内存泄露问题解决方法
10-24
主要介绍了PHP CURL 内存泄露问题解决方法,CRUL长时间访问HTTPS网站时有内存泄露问题,本文经过反复调试找到了解决方法,需要的朋友可以参考下
解决libcurl内存泄露的问题
热门推荐
闲人的专栏
05-28 1万+
情景是一个程序一直执行Post,通过http协议上传数据。 一般的办法是: 先curl_easy_init(); 之后再curl_easy_perform(curl); 最后curl_easy_cleanup(curl); 但是这种方法是存在内存泄露的。参见https://stackoverflow.com/questions/11494950/memory-leak-from...
cURL的内存溢出 leaks memory
weixin_34381687的博客
09-14 737
leaks memoryhttp://stackoverflow.com/questions/26690026/php-curl-loop-leaking-memoryup vote2down voteStories from the internet indicate thatcurl_setopt($ch, CURLOPT_RETURNTRANSFER, true)i...
关于libcur接口l函数curl_easy_perform内存泄露的问题
胡杨林
03-03 1万+
地址: http://blog.csdn.net/hujkay 作者:Jekkay Hu(34538980@qq.com) 关键词:Windows,curl,ssl, visual c++ 2005, libcurl, https, openssl, 内存泄露 时间: 2014/3/3 精灵族都是高富帅和白富美~~~~~
curl&libcurl存在缓冲区溢出高危漏洞 (CVE-2023-38545)解决
qq_40619119的博客
10-13 4304
目前该漏洞只影响libcurl 7.69.0 ~ 8.3.0版本,不受漏洞影响的版本:libcurl < 7.69.0 和 >= 8.4.0。
24 年了,终于有人发现 curl 的这个 Bug 了
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
03-27 359
curl 作者 Daniel Stenberg 在个人博客分享了一个存在 23.9 年的 curl 漏洞。curl 是常用的命令行工具,用来请求 Web 服务器,于 1997 年首次发行。据 Stenberg 透露,这个漏洞是在 curl 发布后的第 201 天引入的,但是直到第 8930 天,漏洞才修复好。一个持续了 23.9 年的漏洞背后有着怎样的故事?一切还得从 1998 年说起。curl ...
掰开揉碎,讲讲这个已存在近24年的CURL漏洞
smellycat000的专栏
09-08 882
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士这是一个与cookie、Internet代码和一个CVE有关的故事。故事发生在很久以前,所以搬好小板凳,仔细听好。当然,场景时候curl,它是与我工作有关的互联网传输工具和库。1998年1998年,我们推出curl 4.9。在那个年代,少有人听说过或用过curl。距离curl 网站宣布某个新发布的下载量达到300次还有几个月的时间要过。当时,cu...
[漏洞分析] CVE-2023-38545 curl“史上最严重的漏洞“分析
Breeze的博客
10-13 5598
分析与复现curl"史上最严重漏洞"CVE-2023-38545
Haxx curl 输入验证错误漏洞(CVE-2019-15601)
07-27
根据提供的引用内容,Haxxcurl存在输入验证错误漏洞(CVE-2019-15601)。这个漏洞源于Haxxcurl在处理URL时未正确验证输入数据,导致攻击者可以利用该漏洞来执行恶意操作,例如覆盖本地文件。\[1\]为了解决这个漏洞,建议升级到Haxxcurl的7.71.0版本或更高版本。\[1\]此外,还需要注意其他相关的安全漏洞,比如Apache Tomcat的安全漏洞(CVE-2021-25122)。\[2\]同时,Haxx libcurl中也存在缓冲区错误漏洞,攻击者可以利用该漏洞导致缓冲区溢出或堆溢出等。\[3\]因此,为了确保系统的安全性,建议及时更新相关软件和库,并采取其他安全措施来保护系统免受潜在的攻击。 #### 引用[.reference_title] - *1* [漏洞修复--Haxx curl 安全漏洞 (CVE-2020-8177)](https://blog.csdn.net/qq_29974229/article/details/127864842)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Centos7系统安全漏洞及修复方案](https://blog.csdn.net/Sara_cloud/article/details/115456192)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张洪財

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值