- 14,381
- 20
- 8 Ноя 2022
Всего один файл может стать причиной крупной утечки из вашей системы.
В популярном инструменте для передачи данных Curl была обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к конфиденциальной информации. Уязвимость, зарегистрированная под идентификатором Для просмотра ссылки Войдиили Зарегистрируйся затрагивает версии Curl от 6.5 до 8.11.0 и может приводить к утечке паролей.
Проблема безопасности возникает, если Curl настроен на использование файла .netrc для хранения учётных данных и выполнение HTTP-перенаправлений. При определённых условиях пароли, использованные для исходного хоста, могли передаваться перенаправленному хосту. Такая ситуация возможна, если:
Уязвимость классифицирована как CWE-200 — раскрытие конфиденциальной информации неавторизованным лицам. Несмотря на риски, уровень опасности этой уязвимости оценён как низкий. Проблема затрагивает как библиотеку libcurl, так и командную строку Curl, которая широко используется в различных приложениях.
Проект Curl выпустил версию 8.11.1 11 декабря 2024 года, устраняющую эту уязвимость. Пользователям настоятельно рекомендуется:
Пользователям и администраторам настоятельно рекомендуется проверить конфигурацию Curl и обновить программу до последней версии, чтобы избежать возможной утечки данных.
В популярном инструменте для передачи данных Curl была обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к конфиденциальной информации. Уязвимость, зарегистрированная под идентификатором Для просмотра ссылки Войди
Проблема безопасности возникает, если Curl настроен на использование файла .netrc для хранения учётных данных и выполнение HTTP-перенаправлений. При определённых условиях пароли, использованные для исходного хоста, могли передаваться перенаправленному хосту. Такая ситуация возможна, если:
- В файле .netrc есть запись, соответствующая целевому хосту перенаправления.
- Эта запись не содержит пароля или ни имени пользователя, ни пароля.
Уязвимость классифицирована как CWE-200 — раскрытие конфиденциальной информации неавторизованным лицам. Несмотря на риски, уровень опасности этой уязвимости оценён как низкий. Проблема затрагивает как библиотеку libcurl, так и командную строку Curl, которая широко используется в различных приложениях.
Проект Curl выпустил версию 8.11.1 11 декабря 2024 года, устраняющую эту уязвимость. Пользователям настоятельно рекомендуется:
- Обновить Curl и libcurl до версии 8.11.1.
- Применить патч к текущей версии и пересобрать её.
- Избегать использования файлов .netrc в сочетании с перенаправлениями.
Пользователям и администраторам настоятельно рекомендуется проверить конфигурацию Curl и обновить программу до последней версии, чтобы избежать возможной утечки данных.
- Источник новости
- www.securitylab.ru
