curl/libcurl连接身份验证劫持漏洞(CVE-2016-5420)

yifanlion 2016-08-16

curl/libcurl连接身份验证劫持漏洞(CVE-2016-5420)


发布日期:2016-08-12
更新日期:2016-08-16

受影响系统:

libcurl libcurl < 7.50.1

描述:


CVE(CAN) ID: CVE-2016-5420

libcURL是命令行传输文件工具。

curl、libcurl 7.50.1之前版本选择要重新利用的TLS连接时未检查客户端证书,远程攻击者通过用其他客户端证书创建的连接,可劫持连接的身份验证。

<*来源:Fernando Mu&#241;oz
        Marcelo Echeverria
  *>

建议:


厂商补丁:

libcurl
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://curl.haxx.se/libcurl/c/

http://www.debian.org/security/2016/dsa-3638

https://curl.haxx.se/docs/adv_20160803B.html

相关推荐