Összefoglaló
A cURL sérülékenységei váltak ismertté, amelyeket kihasználva a támadók bizalmas információkat fedhetnek fel, eltéríthetik a felhasználó munkamenetét és módosíthatnak bizonyos adatokat.
Leírás
- Az SSL és TLS Initialization Vector (IV) választásakor jelentkezik egy hiba, ha az alakalmazást OpenSSL használattal fordítják és az SL_OP_ALL bitmaszk-ot használják.
További információ:
CERT-Hungary CH-5635A sérülékenység a 7.10.6 – 7.23.1 verziókat érinti.
- Az URL-ek “file path” részében átadott, IMAP, POP3 és SMTP protokollokra vonatkozó bemeneti adat nincs megfelelően megtisztítva, mielőtt protokoll specifikus kódban használnák. Ez kihasználható pl. vezérlő karakterek beszúrására, aminek hatására a levelező szerver üzeneteket küld vagy töröl.
A sérülékenység a 7.20.0 – 7.23.1 verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Hijacking (Visszaélés)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: curl.haxx.se
Egyéb referencia: curl.haxx.se
CERT-Hungary CH-5635
SECUNIA 47690
CVE-2011-3389 - NVD CVE-2011-3389
CVE-2012-0036 - NVD CVE-2012-0036