漏洞信息详情
curl / libcURL ‘tailmatch()’ Cookie 信息泄露漏洞
- CNNVD编号:CNNVD-201304-209
- 危害等级: 中危
- CVE编号: CVE-2013-1944
- 漏洞类型: 信息泄露
- 发布时间: 2013-04-16
- 威胁类型: 远程
- 更新时间: 2013-05-02
- 厂 商: canonical
- 漏洞来源:
漏洞简介
Haxx curl是瑞典Haxx公司的一套利用URL语法在命令行下工作的文件传输工具,该工具支持文件上传和下载,并包含一个用于程序开发的libcurl(客户端URL传输库)。Haxx libcurl是瑞典Haxx公司的一个免费、开源的客户端URL传输库。该库支持FTP、FTPS、TFTP、HTTP等。
cURL和libcurl 7.30.0之前的版本中的cookie.c中的‘tailMatch’函数中存在漏洞,该漏洞源于当发送cookies时程序时未正确匹配路径域。远程攻击者可通过在URL的域中匹配后缀利用该漏洞窃取cookies。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://rhn.redhat.com/errata/RHSA-2013-0771.HTML
参考网址
来源: wiki.mageia.org
链接:https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0121
来源: github.com
链接:https://github.com/bagder/curl/commit/2eb8dcf26cb37f09cffe26909a646e702dbcab66
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=950577
来源: UBUNTU
名称: USN-1801-1
链接:http://www.ubuntu.com/usn/USN-1801-1
来源: BID
名称: 59058
链接:http://www.securityfocus.com/bid/59058
来源: OSVDB
名称: 92316
链接:http://www.osvdb.org/92316
来源: MANDRIVA
名称: MDVSA-2013:151
链接:http://www.mandriva.com/security/advisories?name=MDVSA-2013:151
来源: DEBIAN
名称: DSA-2660
链接:http://www.debian.org/security/2012/dsa-2660
来源: SECUNIA
名称: 53097
链接:http://secunia.com/advisories/53097
来源: SECUNIA
名称: 53051
链接:http://secunia.com/advisories/53051
来源: SECUNIA
名称: 53044
链接:http://secunia.com/advisories/53044
来源: REDHAT
名称: RHSA-2013:0771
链接:http://rhn.redhat.com/errata/RHSA-2013-0771.HTML
来源: FEDORA
名称: FEDORA-2013-5598
链接:http://lists.fedoraproject.org/pipermail/package-announce/2013-April/102711.HTML
来源: FEDORA
名称: FEDORA-2013-5618
链接:http://lists.fedoraproject.org/pipermail/package-announce/2013-April/102056.HTML
来源: curl.haxx.se
链接:http://curl.haxx.se/docs/adv_20130412.HTML
来源:SECUNIA
名称:53164
链接:http://secunia.com/advisories/53164
来源:SECUNIA
名称:53240
链接:http://secunia.com/advisories/53240
受影响实体
- Canonical Ubuntu_linux:8.04:-:Lts
- Canonical Ubuntu_linux:10.04:-:Lts
- Canonical Ubuntu_linux:11.10
- Canonical Ubuntu_linux:12.04:-:Lts
补丁
- curl-7.30.0
评论