cURL SSL/TLS IV választási és URL ellenőrzési sérülékenység

CH azonosító

CH-6318

Angol cím

cURL SSL/TLS IV Selection Weakness and URL Sanitisation Vulnerability

Felfedezés dátuma

2012.01.24.

Súlyosság

Alacsony

Érintett rendszerek

Haxx
cURL

Érintett verziók

cURL 7.x

Összefoglaló

A cURL sérülékenységei váltak ismertté, amelyeket kihasználva a támadók bizalmas információkat fedhetnek fel, eltéríthetik a felhasználó munkamenetét és módosíthatnak bizonyos adatokat.

Leírás

  1. Az SSL és TLS Initialization Vector (IV) választásakor jelentkezik egy hiba, ha az alakalmazást OpenSSL használattal fordítják és az SL_OP_ALL bitmaszk-ot használják.

    További információ:
    CERT-Hungary CH-5635

    A sérülékenység a 7.10.6 – 7.23.1 verziókat érinti.

  2. Az URL-ek “file path” részében átadott, IMAP, POP3 és SMTP protokollokra vonatkozó bemeneti adat nincs megfelelően megtisztítva, mielőtt protokoll specifikus kódban használnák. Ez kihasználható pl. vezérlő karakterek beszúrására, aminek hatására a levelező szerver üzeneteket küld vagy töröl.

    A sérülékenység a 7.20.0 – 7.23.1 verziókat érinti.

Megoldás

Frissítsen a legújabb verzióra