curl 8.5.0 OCSP 验证绕过(CVE-2024-0853)
CVE编号
CVE-2024-0853利用情况
暂无补丁情况
N/A披露时间
2024-02-03漏洞描述
curl 是用于在各种网络协议之间传输数据的命令行工具。 该漏洞导致即使在线证书状态协议(OCSP stapling)测试失败,curl也会在其缓存中保留SSL会话ID。这意味着,如果会话ID缓存仍然有效,对同一主机名的后续传输可能会成功并跳过验证状态检查。此问题仅限于使用OpenSSL构建的curl,并且仅在使用TLS 1.2时出现,不影响TLS 1.3。解决此问题的措施包括升级到curl 8.6.0版本,应用补丁,不使用基于OpenSSL的curl,或不允许传输使用TLS 1.2。解决建议
"将组件 curl 升级至 8.6.0-1 及以上版本"
参考链接 |
|
|---|---|
| https://curl.se/docs/CVE-2024-0853.html | |
| https://curl.se/docs/CVE-2024-0853.json | |
| https://hackerone.com/reports/2298922 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | curl | * | Up to (excluding) 7.64.0-4+deb10u8 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | curl | * | Up to (excluding) 7.74.0-1.3+deb11u11 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_12 | curl | * | Up to (excluding) 7.88.1-10+deb12u5 | |||||
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论