cURL/libcURL SSL证书主机名校验安全绕过漏洞

admin

0
文章

0
评论

2023-12-07 10:20:39 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 cURL/libcURL SSL证书主机名校验安全绕过漏洞

CVE编号

CVE-2013-6422

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-12-24

漏洞描述

cURL是一款命令行传输文件工具，支持FTP、FTPS、HTTP、HTTPS、GOPHER、TELNET、DICT、FILE和LDAP等协议。当在GnuTLS后端禁用数字签名校验时，libcurl未能正确校验CN和SAN名字段，允许攻击者针对链接此库的应用进行中间人攻击，可获取敏感信息或更改加密通信。

解决建议

用户可参考如下厂商提供的安全公告获得补丁信息：http://curl.haxx.se/docs/adv_20131217.html

参考链接
http://curl.haxx.se/docs/adv_20131217.html
http://www.debian.org/security/2013/dsa-2824
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
http://www.ubuntu.com/usn/USN-2058-1
https://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04463322

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	haxx	libcurl	7.21.4	-
	运行在以下环境
	应用	haxx	libcurl	7.21.5	-
	运行在以下环境
	应用	haxx	libcurl	7.21.6	-
	运行在以下环境
	应用	haxx	libcurl	7.21.7	-
	运行在以下环境
	应用	haxx	libcurl	7.22.0	-
	运行在以下环境
	应用	haxx	libcurl	7.23.0	-
	运行在以下环境
	应用	haxx	libcurl	7.23.1	-
	运行在以下环境
	应用	haxx	libcurl	7.24.0	-
	运行在以下环境
	应用	haxx	libcurl	7.25.0	-
	运行在以下环境
	应用	haxx	libcurl	7.26.0	-
	运行在以下环境
	应用	haxx	libcurl	7.27.0	-
	运行在以下环境
	应用	haxx	libcurl	7.28.0	-
	运行在以下环境
	应用	haxx	libcurl	7.28.1	-
	运行在以下环境
	应用	haxx	libcurl	7.29.0	-
	运行在以下环境
	应用	haxx	libcurl	7.30.0	-
	运行在以下环境
	应用	haxx	libcurl	7.31.0	-
	运行在以下环境
	应用	haxx	libcurl	7.32.0	-
	运行在以下环境
	应用	haxx	libcurl	7.33.0	-
	运行在以下环境
	系统	canonical	ubuntu_linux	12.04	-
	运行在以下环境
	系统	canonical	ubuntu_linux	12.10	-
	运行在以下环境
	系统	canonical	ubuntu_linux	13.04	-
	运行在以下环境
	系统	canonical	ubuntu_linux	13.10	-
	运行在以下环境
	系统	debian	debian_linux	7.0	-
	运行在以下环境
	系统	debian_10	curl	*		Up to (excluding) 7.34.0-1
	运行在以下环境
	系统	debian_11	curl	*		Up to (excluding) 7.34.0-1
	运行在以下环境
	系统	debian_12	curl	*		Up to (excluding) 7.34.0-1
	运行在以下环境
	系统	debian_7	curl	*		Up to (excluding) 7.26.0-1+wheezy7
	运行在以下环境
	系统	debian_sid	curl	*		Up to (excluding) 7.34.0-1
	运行在以下环境
	系统	ubuntu_12.04.5_lts	curl	*		Up to (excluding) 7.22.0-3ubuntu4.6