当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

cURL/libcurl信息泄露漏洞(CVE-2015-3153)

     发表日期:2015-05-08 10:08:00

cURL/libcurl信息泄露漏洞(CVE-2015-3153)
CVE-ID:CVE-2015-3153
发布日期:2015-05-04
更新日期:2015-05-05
受影响系统:
cURL cURL < 7.42.1
详细信息:
 
cURL/libcURL是命令行传输文件工具,支持FTP、FTPS、HTTP、HTTPS、GOPHER、TELNET、DICT、FILE和LDAP。
 
 
 
cURL及libcurl 7.42.1之前版本,默认配置中向代理服务器及目标服务器发送自定义HTTP标头,远程代理服务器通过读取标头内容,利用此漏洞可获取敏感信息。
 
 
来源:
Yehezkel Horowitz
解决办法:
厂商补丁:
 
cURL
----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载7.42.1版本:
 
 
 
http://curl.haxx.se/CVE-2015-3153.patch 
 
 
 
或者应用补丁。
 
 
 
或者设置CURLOPT_HEADEROPT为CURLHEADER_SEPARATE