一、 漏洞 CVE-2014-8151 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在 libcurl 7.31.0 至 7.39.0 版本的 lib/vtls/curl_darwinssl.c 中的darwinssl_connect_step1函数,在使用 DarwinSSL(也称为 SecureTransport)后端进行 TLS 时,不会检查在重复使用会话时是否已缓存的 TLS 会话验证证书。这允许中间人攻击者通过创建定制的证书来欺骗服务器。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The darwinssl_connect_step1 function in lib/vtls/curl_darwinssl.c in libcurl 7.31.0 through 7.39.0, when using the DarwinSSL (aka SecureTransport) back-end for TLS, does not check if a cached TLS session validated the certificate when reusing the session, which allows man-in-the-middle attackers to spoof servers via a crafted certificate.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Haxx libcurl 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Haxx libcurl是瑞典Haxx公司的一个免费、开源的客户端URL传输库。该库支持FTP、FTPS、TFTP、HTTP等。 Haxx libcurl 7.31.0版本至7.39.0版本的lib/vtls/curl_darwinssl.c文件中的‘darwinssl_connect_step1’函数存在安全漏洞,当程序使用DarwinSSL back-end时,没有正确验证TLS会话的证书。攻击者可借助特制的证书利用该漏洞实施中间人攻击,欺骗服务器。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2014-8151 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2014-8151 的情报信息