curl / libcURL ‘tailmatch()’ Cookie 信息泄露漏洞

漏洞名称: curl / libcURL ‘tailmatch()’ Cookie 信息泄露漏洞
CNNVD编号: CNNVD-201304-209
发布时间: 2013-04-16
更新时间: 2013-04-16
危害等级: 中危  中危
漏洞类型: 信息泄露
威胁类型: 远程
CVE编号: CVE-2013-1944

Libcurl为一个免费开源的,客户端url传输库,支持FTP,FTPS,TFTP,HTTP,HTTPS,GOPHER,TELNET,DICT,FILE和LDAP,跨平台,支持Windows,Unix,Linux等,线程安全,支持Ipv6。并且易于使用。
        CURL是命令行传输文件工具,支持FTP、FTPS、HTTP、HTTPS、GOPHER、TELNET、DICT、FILE和LDAP。
        cURL / libcURL 7.29.0和之前版本存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。该漏洞源于lib/cookie.c中"tailmatch()"函数在对 cookie域路径与域名比对时,出现错误,导致攻击者能够利用其向其他域泄露cookie。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
        http://curl.haxx.se/docs/adv_20130412.html

posted @ 2013-04-16 20:52  夏虫xm  阅读(305)  评论(0编辑  收藏  举报