cURL GSSAPI tanúsítvány továbbítás hibája

CH azonosító

CH-5106

Angol cím

cURL GSSAPI Credential Delegation Weakness

Felfedezés dátuma

2011.06.26.

Súlyosság

Alacsony

Érintett rendszerek

Haxx
cURL

Érintett verziók

cURL 7.10.6 - 7.21.6

Összefoglaló

A cURL olyan hibáját jelentették, melyet a támadók kihasználhatnak hamisításos támadásokra.

Leírás

A sérülékenységet az okozza, hogy GSS/Negotiate alkalmazás feltétlenül lefolytatja a tanúsítvány továbbítását, ami lehetővé teszi, hogy egy szerver megszerezze a kliens biztonsági tanúsítványait. Ezt egy rosszindulatú szerver kihasználhatja a kliens megszemélyesítésére bármelyik másik szerveren, ha az ugyanazt a GSSAPI eljárást használja.

A sikeres kiaknázás feltétele, hogy a felhasználó a GSS/Negotiate segítségével csatlakozzon a rosszindulatú szerverhez.

Megoldás

Frissítsen a legújabb verzióra