curl/libcurl连接身份验证劫持漏洞(CVE-2016-5420)-安全维护-Linux系统学习

curl/libcurl连接身份验证劫持漏洞(CVE-2016-5420)

alen 分类：安全维护时间：2018/11/20 00:00:00 评论：条加入收藏

curl/libcurl连接身份验证劫持漏洞(CVE-2016-5420)

发布日期：2016-08-12
更新日期：2016-08-16

受影响系统：

libcurl libcurl < 7.50.1

描述：

CVE(CAN) ID: CVE-2016-5420

libcURL是命令行传输文件工具。

curl、libcurl 7.50.1之前版本选择要重新利用的TLS连接时未检查客户端证书，远程攻击者通过用其他客户端证书创建的连接，可劫持连接的身份验证。

<*来源：Fernando Muñoz
Marcelo Echeverria
*>

建议：

厂商补丁：

libcurl
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://curl.haxx.se/libcurl/c/

http://www.debian.org/security/2016/dsa-3638

https://curl.haxx.se/docs/adv_20160803B.html

本文永久更新链接地址：http://www.linuxidc.com/Linux/2016-08/134289.htm

TAG：

除非注明，文章均由 Linux系统学习整理发布，欢迎转载。如有版权争议，请联系删除。

转载请注明本文地址：http://8u.hn.cn/xtanquanweihu/9129.html，网络整理资料，转载时请保留原出处。

如果喜欢，可以：点此订阅本站 - 加入收藏

上一篇: GD Graphics Library gd_tga.c 拒绝服务漏洞(CVE-2016-6214)

下一篇：curl/libcurl安全限制绕过漏洞(CVE-2016-5419)

文章评论

留言与评论（共有 0 条评论）

分类目录

随机浏览