订阅本站
收藏本站
微博分享
QQ空间分享

curl/libcurl连接身份验证劫持漏洞(CVE-2016-5420)

alen 分类:安全维护 时间:2018/11/20 00:00:00 评论: 加入收藏
curl/libcurl连接身份验证劫持漏洞(CVE-2016-5420)


发布日期:2016-08-12
更新日期:2016-08-16

受影响系统:

libcurl libcurl < 7.50.1

描述:


CVE(CAN) ID: CVE-2016-5420

libcURL是命令行传输文件工具

curl、libcurl 7.50.1之前版本选择要重新利用的TLS连接时未检查客户端证书,远程攻击者通过用其他客户端证书创建的连接,可劫持连接的身份验证。

<*来源:Fernando Mu&#241;oz
        Marcelo Echeverria
  *>

建议:


厂商补丁:

libcurl
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载

https://curl.haxx.se/libcurl/c/

http://www.debian.org/security/2016/dsa-3638

https://curl.haxx.se/docs/adv_20160803B.html

本文永久更新链接地址:http://www.linuxidc.com/Linux/2016-08/134289.htm

TAG:

文章评论

留言与评论(共有 0 条评论)
   
验证码: