正文

curl up to 6.3.1 跨站请求伪造

admin
admin V管理员 /0 评论 /7 阅读
0415
此篇文章发布距今已超过1164天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2009-0037

利用情况

暂无

补丁情况

官方补丁

披露时间

2009-03-05
漏洞描述
当启用CURLOPT_FOLLOWLOCATION时,curl和libcurl 5.11 through 7.19.3中的重定向实现接受任意Location值,这可能允许远程HTTP服务器(1)触发对Intranet服务器的任意请求,(2)通过读取或覆盖任意文件重定向到某个文件:URL,或(3)通过重定向到scp:URL执行任意命令。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://curl.haxx.se/docs/adv_20090303.html
http://curl.haxx.se/lxr/source/CHANGES
http://lists.apple.com/archives/security-announce/2010//Mar/msg00001.html
http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00001.html
http://lists.vmware.com/pipermail/security-announce/2009/000060.html
http://secunia.com/advisories/34138
http://secunia.com/advisories/34202
http://secunia.com/advisories/34237
http://secunia.com/advisories/34251
http://secunia.com/advisories/34255
http://secunia.com/advisories/34259
http://secunia.com/advisories/34399
http://secunia.com/advisories/35766
http://security.gentoo.org/glsa/glsa-200903-21.xml
http://slackware.com/security/viewer.php?l=slackware-security&y=2009&m=slackw...
http://support.apple.com/kb/HT4077
http://wiki.rpath.com/wiki/Advisories:rPSA-2009-0042
http://www.debian.org/security/2009/dsa-1738
http://www.redhat.com/support/errata/RHSA-2009-0341.html
http://www.securityfocus.com/archive/1/501757/100/0/threaded
http://www.securityfocus.com/archive/1/504849/100/0/threaded
http://www.securityfocus.com/bid/33962
http://www.securitytracker.com/id?1021783
http://www.ubuntu.com/usn/USN-726-1
http://www.vmware.com/security/advisories/VMSA-2009-0009.html
http://www.vupen.com/english/advisories/2009/0581
http://www.vupen.com/english/advisories/2009/1865
http://www.withdk.com/2009/03/03/curllibcurl-redirect-arbitrary-file-access/
http://www.withdk.com/archives/Libcurl_arbitrary_file_access.pdf
https://exchange.xforce.ibmcloud.com/vulnerabilities/49030
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 curl curl 5.11 -
运行在以下环境
应用 curl curl 6.0 -
运行在以下环境
应用 curl curl 6.1beta -
运行在以下环境
应用 curl curl 6.2 -
运行在以下环境
应用 curl curl 6.3 -
运行在以下环境
应用 curl curl 6.3.1 -
运行在以下环境
应用 curl curl 6.4 -
运行在以下环境
应用 curl curl 6.5 -
运行在以下环境
应用 curl curl 6.5.1 -
运行在以下环境
应用 curl curl 6.5.2 -
运行在以下环境
应用 curl curl 7.1 -
运行在以下环境
应用 curl curl 7.1.1 -
运行在以下环境
应用 curl curl 7.10 -
运行在以下环境
应用 curl curl 7.10.1 -
运行在以下环境
应用 curl curl 7.10.2 -
运行在以下环境
应用 curl curl 7.10.3 -
运行在以下环境
应用 curl curl 7.10.4 -
运行在以下环境
应用 curl curl 7.10.5 -
运行在以下环境
应用 curl curl 7.10.6 -
运行在以下环境
应用 curl curl 7.10.7 -
运行在以下环境
应用 curl curl 7.10.8 -
运行在以下环境
应用 curl curl 7.11.1 -
运行在以下环境
应用 curl curl 7.12 -
运行在以下环境
应用 curl curl 7.12.1 -
运行在以下环境
应用 curl curl 7.12.2 -
运行在以下环境
应用 curl curl 7.13 -
运行在以下环境
应用 curl curl 7.13.2 -
运行在以下环境
应用 curl curl 7.14 -
运行在以下环境
应用 curl curl 7.14.1 -
运行在以下环境
应用 curl curl 7.15 -
运行在以下环境
应用 curl curl 7.15.1 -
运行在以下环境
应用 curl curl 7.15.3 -
运行在以下环境
应用 curl curl 7.16.3 -
运行在以下环境
应用 curl curl 7.16.4 -
运行在以下环境
应用 curl curl 7.17 -
运行在以下环境
应用 curl curl 7.18 -
运行在以下环境
应用 curl curl 7.19.3 -
运行在以下环境
应用 curl curl 7.2 -
运行在以下环境
应用 curl curl 7.2.1 -
运行在以下环境
应用 curl curl 7.3 -
运行在以下环境
应用 curl curl 7.4 -
运行在以下环境
应用 curl curl 7.4.1 -
运行在以下环境
应用 curl curl 7.4.2 -
运行在以下环境
应用 curl curl 7.5 -
运行在以下环境
应用 curl curl 7.5.1 -
运行在以下环境
应用 curl curl 7.5.2 -
运行在以下环境
应用 curl curl 7.6 -
运行在以下环境
应用 curl curl 7.6.1 -
运行在以下环境
应用 curl curl 7.7 -
运行在以下环境
应用 curl curl 7.7.1 -
运行在以下环境
应用 curl curl 7.7.2 -
运行在以下环境
应用 curl curl 7.7.3 -
运行在以下环境
应用 curl curl 7.8 -
运行在以下环境
应用 curl curl 7.8.1 -
运行在以下环境
应用 curl curl 7.8.2 -
运行在以下环境
应用 curl curl 7.9 -
运行在以下环境
应用 curl curl 7.9.1 -
运行在以下环境
应用 curl curl 7.9.2 -
运行在以下环境
应用 curl curl 7.9.3 -
运行在以下环境
应用 curl curl 7.9.4 -
运行在以下环境
应用 curl curl 7.9.5 -
运行在以下环境
应用 curl curl 7.9.6 -
运行在以下环境
应用 curl curl 7.9.7 -
运行在以下环境
应用 curl curl 7.9.8 -
运行在以下环境
应用 curl libcurl 5.11 -
运行在以下环境
应用 curl libcurl 7.12 -
运行在以下环境
应用 curl libcurl 7.12.1 -
运行在以下环境
应用 curl libcurl 7.12.2 -
运行在以下环境
应用 curl libcurl 7.12.3 -
运行在以下环境
应用 curl libcurl 7.13 -
运行在以下环境
应用 curl libcurl 7.13.1 -
运行在以下环境
应用 curl libcurl 7.13.2 -
运行在以下环境
应用 curl libcurl 7.14 -
运行在以下环境
应用 curl libcurl 7.14.1 -
运行在以下环境
应用 curl libcurl 7.15 -
运行在以下环境
应用 curl libcurl 7.15.1 -
运行在以下环境
应用 curl libcurl 7.15.2 -
运行在以下环境
应用 curl libcurl 7.15.3 -
运行在以下环境
应用 curl libcurl 7.16.3 -
运行在以下环境
应用 curl libcurl 7.19.3 -
运行在以下环境
系统 debian_4.0 curl * Up to
(excluding)
7.15.5-1etch2
运行在以下环境
系统 debian_5.0 curl * Up to
(excluding)
7.18.2-8lenny2
运行在以下环境
系统 oracle_5 curl * Up to
(excluding)
7.15.5-2.1.el5_3.4
阿里云评分 6.0
  • 攻击路径 远程
  • 攻击复杂度 容易
  • 权限要求 普通权限
  • 影响范围 全局影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 数据泄露
  • 数据完整性 传输被破坏
  • 服务器危害 服务器失陷
  • 全网数量 N/A
CWE-ID 漏洞类型 CWE-352 跨站请求伪造(CSRF)