漏洞标题
N/A
漏洞描述信息
CURL在7.53.0之前具有一个错误的TLS证书状态请求扩展功能,该功能在检查测试成功或失败时要求在代码中提供新的服务器证书的有效性证明。它通常会认为有有效的证明,即使不存在或服务器不支持所询问的TLS扩展。这可能导致用户无法检测到服务器证书的失效或被误导认为服务器实际上比实际情况更好。此漏洞也存在于命令行工具(--cert-status)中。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:L
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
curl before 7.53.0 has an incorrect TLS Certificate Status Request extension feature that asks for a fresh proof of the server's certificate's validity in the code that checks for a test success or failure. It ends up always thinking there's valid proof, even when there is none or if the server doesn't support the TLS extension in question. This could lead to users not detecting when a server's certificate goes invalid or otherwise be mislead that the server is in a better shape than it is in reality. This flaw also exists in the command line tool (--cert-status).
CVSS信息
N/A
漏洞类别
证书验证不恰当
漏洞标题
Haxx curl和libcurl 安全漏洞
漏洞描述信息
Haxx curl和libcurl都是瑞典Haxx公司的产品。curl是一套利用URL语法在命令行下工作的文件传输工具。libcurl是一个免费、开源的客户端URL传输库。 Haxx curl和libcurl 7.52.0版本至7.52.1版本存在安全绕过漏洞。攻击者可利用该漏洞实施中间人攻击,绕过安全限制。
CVSS信息
N/A
漏洞类别
信任管理问题