实用小技巧>运维相关>正文
RHSA-2018:3157: curl and nss-pem security and bug fix update 阿里云漏洞修复
2019-05-18 17:31 君语贤Linux服务器漏洞漏洞修复阿里云基本信息
漏洞分类: 影响;拒绝服务
影响;拒绝服务
影响:信息泄露
CVE-2018-1000007 严重CVE-2018-1000120 严重CVE-2018-1000122 严重CVE-2018-1000121
标题: libcurl 信息泄露漏洞(CVE-2018-1000007)
CVSS分值: 9.8
CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
披露时间: 2018-01-24
CVEID: CVE-2018-1000007
简介:
libcurl是一个免费且易于使用的客户端URL传输库,支持DICT,FILE,FTP,FTPS,Gopher,HTTP,HTTPS,IMAP,IMAPS,LDAP,LDAPS,POP3,POP3S,RTMP,RTSP,SCP, SFTP,SMTP,SMTPS,Telnet和TFTP。
libcurl 7.1到7.57.0版本存在信息泄露漏洞。
详情:
libcurl 7.1到7.57.0可能会意外地将身份验证数据泄漏给第三方。当被要求在其HTTP请求中发送自定义头时,libcurl会首先将header发送到初始URL中的主机,但如果被要求遵循重定向并返回30X HTTP响应代码,则会将该headers发送到URL中提到的主机`Location:`响应header的值。发送相同的头文件到随后的主机对于传递自定义`Authorization:`头文件的应用程序是个严重的问题,因为这个头文件通常包含隐私敏感信息或数据,这些信息或数据可能允许其他人模仿libcurl使用客户端的请求。
修复方案:yum update nss-pem
本文链接:https://www.weguiding.com/yuwei/439.html
猜你喜欢
- 21-04-02 阿里云CDN中SSL证书自动续签失败怎么处理
- 20-08-18 如何让自己的服务器支持CNAME解析绑定域名
- 19-07-18 RHSA-2018:3665-重要: NetworkManager 安全更新
- 19-07-16 xshell链接虚拟机中的Linux系统
- 19-07-16 RHSA-2019:0049-重要: systemd 安全更新
- 19-07-16 RHSA-2018:0260-中危: systemd 安全更新
- 19-07-16 RHSA-2018:3032-低危: binutils 安全和BUG修复更新
- 19-07-16 RHSA-2018:1700-重要: procps-ng 安全更新
- 19-07-16 RHSA-2018:3665-重要: NetworkManager 安全更新
- 图文推荐