Összefoglaló
A cURL olyan hibáját jelentették, melyet a támadók kihasználhatnak hamisításos támadásokra.
Leírás
A sérülékenységet az okozza, hogy GSS/Negotiate alkalmazás feltétlenül lefolytatja a tanúsítvány továbbítását, ami lehetővé teszi, hogy egy szerver megszerezze a kliens biztonsági tanúsítványait. Ezt egy rosszindulatú szerver kihasználhatja a kliens megszemélyesítésére bármelyik másik szerveren, ha az ugyanazt a GSSAPI eljárást használja.
A sikeres kiaknázás feltétele, hogy a felhasználó a GSS/Negotiate segítségével csatlakozzon a rosszindulatú szerverhez.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Hijacking (Visszaélés)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: curl.haxx.se
SECUNIA 45067
CVE-2011-2192 - NVD CVE-2011-2192