RHSA-2018:3157: curl and nss-pem security and bug fix update 阿里云漏洞修复

基本信息

漏洞分类： 影响;拒绝服务

影响;拒绝服务

影响:信息泄露

CVE-2018-1000007 严重CVE-2018-1000120 严重CVE-2018-1000122 严重CVE-2018-1000121

标题: libcurl 信息泄露漏洞（CVE-2018-1000007）

CVSS分值: 9.8

CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

披露时间: 2018-01-24

CVEID: CVE-2018-1000007

简介:

libcurl是一个免费且易于使用的客户端URL传输库，支持DICT，FILE，FTP，FTPS，Gopher，HTTP，HTTPS，IMAP，IMAPS，LDAP，LDAPS，POP3，POP3S，RTMP，RTSP，SCP， SFTP，SMTP，SMTPS，Telnet和TFTP。

libcurl 7.1到7.57.0版本存在信息泄露漏洞。

详情:

libcurl 7.1到7.57.0可能会意外地将身份验证数据泄漏给第三方。当被要求在其HTTP请求中发送自定义头时，libcurl会首先将header发送到初始URL中的主机，但如果被要求遵循重定向并返回30X HTTP响应代码，则会将该headers发送到URL中提到的主机`Location：`响应header的值。发送相同的头文件到随后的主机对于传递自定义`Authorization：`头文件的应用程序是个严重的问题，因为这个头文件通常包含隐私敏感信息或数据，这些信息或数据可能允许其他人模仿libcurl使用客户端的请求。

修复方案：yum update nss-pem

本文链接：https://www.weguiding.com/yuwei/439.html