阿里云漏洞库

漏洞描述

cURL是命令行传输文件工具，支持FTP、FTPS、HTTP、HTTPS、GOPHER、TELNET、DICT、FILE和LDAP。

cURL 7.7 - 7.30.0版本内的函数"curl_easy_unescape()"(lib/escape.c)将URL编码的字符串解码为原始二进制数据时出现边界错误，此漏洞可被利用造成堆缓冲区溢出，导致任意代码执行。

解决建议

cURL 7.31.0 已修复此漏洞，建议用户下载使用：
http://curl.haxx.se/

参考链接
http://curl.haxx.se/docs/adv_20130622.html
http://lists.opensuse.org/opensuse-updates/2013-07/msg00013.html
http://rhn.redhat.com/errata/RHSA-2013-0983.html
http://www.debian.org/security/2013/dsa-2713
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
http://www.oracle.com/technetwork/topics/security/ovmbulletinjul2016-3090546.html
http://www.securityfocus.com/bid/60737
http://www.ubuntu.com/usn/USN-1894-1
https://github.com/bagder/curl/commit/192c4f788d48f82c03e9cef40013f34370e90737

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	haxx	curl	7.10	-
	运行在以下环境
	应用	haxx	curl	7.10.1	-
	运行在以下环境
	应用	haxx	curl	7.10.2	-
	运行在以下环境
	应用	haxx	curl	7.10.3	-
	运行在以下环境
	应用	haxx	curl	7.10.4	-
	运行在以下环境
	应用	haxx	curl	7.10.5	-
	运行在以下环境
	应用	haxx	curl	7.10.6	-
	运行在以下环境
	应用	haxx	curl	7.10.7	-
	运行在以下环境
	应用	haxx	curl	7.10.8	-
	运行在以下环境
	应用	haxx	curl	7.11.0	-
	运行在以下环境
	应用	haxx	curl	7.11.1	-
	运行在以下环境
	应用	haxx	curl	7.11.2	-
	运行在以下环境
	应用	haxx	curl	7.12.0	-
	运行在以下环境
	应用	haxx	curl	7.12.1	-
	运行在以下环境
	应用	haxx	curl	7.12.2	-
	运行在以下环境
	应用	haxx	curl	7.12.3	-
	运行在以下环境
	应用	haxx	curl	7.13.0	-
	运行在以下环境
	应用	haxx	curl	7.13.1	-
	运行在以下环境
	应用	haxx	curl	7.13.2	-
	运行在以下环境
	应用	haxx	curl	7.14.0	-
	运行在以下环境
	应用	haxx	curl	7.14.1	-
	运行在以下环境
	应用	haxx	curl	7.15.0	-
	运行在以下环境
	应用	haxx	curl	7.15.1	-
	运行在以下环境
	应用	haxx	curl	7.15.2	-
	运行在以下环境
	应用	haxx	curl	7.15.3	-
	运行在以下环境
	应用	haxx	curl	7.15.4	-
	运行在以下环境
	应用	haxx	curl	7.15.5	-
	运行在以下环境
	应用	haxx	curl	7.16.0	-
	运行在以下环境
	应用	haxx	curl	7.16.1	-
	运行在以下环境
	应用	haxx	curl	7.16.2	-
	运行在以下环境
	应用	haxx	curl	7.16.3	-
	运行在以下环境
应用	haxx	curl	7.16.4	-
运行在以下环境
应用	haxx	curl	7.17.0	-
运行在以下环境
应用	haxx	curl	7.17.1	-
运行在以下环境
应用	haxx	curl	7.18.0	-
运行在以下环境
应用	haxx	curl	7.18.1	-
运行在以下环境
应用	haxx	curl	7.18.2	-
运行在以下环境
应用	haxx	curl	7.19.0	-
运行在以下环境
应用	haxx	curl	7.19.1	-
运行在以下环境
应用	haxx	curl	7.19.2	-
运行在以下环境
应用	haxx	curl	7.19.3	-
运行在以下环境
应用	haxx	curl	7.19.4	-
运行在以下环境
应用	haxx	curl	7.19.5	-
运行在以下环境
应用	haxx	curl	7.19.6	-
运行在以下环境
应用	haxx	curl	7.19.7	-
运行在以下环境
应用	haxx	curl	7.20.0	-
运行在以下环境
应用	haxx	curl	7.20.1	-
运行在以下环境
应用	haxx	curl	7.21.0	-
运行在以下环境
应用	haxx	curl	7.21.1	-
运行在以下环境
应用	haxx	curl	7.21.2	-
运行在以下环境
应用	haxx	curl	7.21.3	-
运行在以下环境
应用	haxx	curl	7.21.4	-
运行在以下环境
应用	haxx	curl	7.21.5	-
运行在以下环境
应用	haxx	curl	7.21.6	-
运行在以下环境
应用	haxx	curl	7.21.7	-
运行在以下环境
应用	haxx	curl	7.22.0	-
运行在以下环境
应用	haxx	curl	7.23.0	-
运行在以下环境
应用	haxx	curl	7.23.1	-
运行在以下环境
应用	haxx	curl	7.24.0	-
运行在以下环境
应用	haxx	curl	7.25.0	-
运行在以下环境
应用	haxx	curl	7.26.0	-
运行在以下环境
应用	haxx	curl	7.27.0	-
运行在以下环境
应用	haxx	curl	7.28.0	-
运行在以下环境
应用	haxx	curl	7.28.1	-
运行在以下环境
应用	haxx	curl	7.29.0	-
运行在以下环境
应用	haxx	curl	7.30.0	-
运行在以下环境
应用	haxx	curl	7.7	-
运行在以下环境
应用	haxx	curl	7.7.1	-
运行在以下环境
应用	haxx	curl	7.7.2	-
运行在以下环境
应用	haxx	curl	7.7.3	-
运行在以下环境
应用	haxx	curl	7.8	-
运行在以下环境
应用	haxx	curl	7.8.1	-
运行在以下环境
应用	haxx	curl	7.9	-
运行在以下环境
应用	haxx	curl	7.9.1	-
运行在以下环境
应用	haxx	curl	7.9.2	-
运行在以下环境
应用	haxx	curl	7.9.3	-
运行在以下环境
应用	haxx	curl	7.9.4	-
运行在以下环境
应用	haxx	curl	7.9.5	-
运行在以下环境
应用	haxx	curl	7.9.6	-
运行在以下环境
应用	haxx	curl	7.9.7	-
运行在以下环境
应用	haxx	curl	7.9.8	-
运行在以下环境
应用	haxx	libcurl	7.10	-
运行在以下环境
应用	haxx	libcurl	7.10.1	-
运行在以下环境
应用	haxx	libcurl	7.10.2	-
运行在以下环境
应用	haxx	libcurl	7.10.3	-
运行在以下环境
应用	haxx	libcurl	7.10.4	-
运行在以下环境
应用	haxx	libcurl	7.10.5	-
运行在以下环境
应用	haxx	libcurl	7.10.6	-
运行在以下环境
应用	haxx	libcurl	7.10.7	-
运行在以下环境
应用	haxx	libcurl	7.10.8	-
运行在以下环境
应用	haxx	libcurl	7.11.0	-
运行在以下环境
应用	haxx	libcurl	7.11.1	-
运行在以下环境
应用	haxx	libcurl	7.11.2	-
运行在以下环境
应用	haxx	libcurl	7.12.0	-
运行在以下环境
应用	haxx	libcurl	7.12.1	-
运行在以下环境
应用	haxx	libcurl	7.12.2	-
运行在以下环境
应用	haxx	libcurl	7.12.3	-
运行在以下环境
应用	haxx	libcurl	7.13.0	-
运行在以下环境
应用	haxx	libcurl	7.13.1	-
运行在以下环境
应用	haxx	libcurl	7.13.2	-
运行在以下环境
应用	haxx	libcurl	7.14.0	-
运行在以下环境
应用	haxx	libcurl	7.14.1	-
运行在以下环境
应用	haxx	libcurl	7.15.0	-
运行在以下环境
应用	haxx	libcurl	7.15.1	-
运行在以下环境
应用	haxx	libcurl	7.15.2	-
运行在以下环境
应用	haxx	libcurl	7.15.3	-
运行在以下环境
应用	haxx	libcurl	7.15.4	-
运行在以下环境
应用	haxx	libcurl	7.15.5	-
运行在以下环境
应用	haxx	libcurl	7.16.0	-
运行在以下环境
应用	haxx	libcurl	7.16.1	-
运行在以下环境
应用	haxx	libcurl	7.16.2	-
运行在以下环境
应用	haxx	libcurl	7.16.3	-
运行在以下环境
应用	haxx	libcurl	7.16.4	-
运行在以下环境
应用	haxx	libcurl	7.17.0	-
运行在以下环境
应用	haxx	libcurl	7.17.1	-
运行在以下环境
应用	haxx	libcurl	7.18.0	-
运行在以下环境
应用	haxx	libcurl	7.18.1	-
运行在以下环境
应用	haxx	libcurl	7.18.2	-
运行在以下环境
应用	haxx	libcurl	7.19.0	-
运行在以下环境
应用	haxx	libcurl	7.19.1	-
运行在以下环境
应用	haxx	libcurl	7.19.2	-
运行在以下环境
应用	haxx	libcurl	7.19.3	-
运行在以下环境
应用	haxx	libcurl	7.19.4	-
运行在以下环境
应用	haxx	libcurl	7.19.5	-
运行在以下环境
应用	haxx	libcurl	7.19.6	-
运行在以下环境
应用	haxx	libcurl	7.19.7	-
运行在以下环境
应用	haxx	libcurl	7.20.0	-
运行在以下环境
应用	haxx	libcurl	7.20.1	-
运行在以下环境
应用	haxx	libcurl	7.21.0	-
运行在以下环境
应用	haxx	libcurl	7.21.1	-
运行在以下环境
应用	haxx	libcurl	7.21.2	-
运行在以下环境
应用	haxx	libcurl	7.21.3	-
运行在以下环境
应用	haxx	libcurl	7.21.4	-
运行在以下环境
应用	haxx	libcurl	7.21.5	-
运行在以下环境
应用	haxx	libcurl	7.21.6	-
运行在以下环境
应用	haxx	libcurl	7.21.7	-
运行在以下环境
应用	haxx	libcurl	7.22.0	-
运行在以下环境
应用	haxx	libcurl	7.23.0	-
运行在以下环境
应用	haxx	libcurl	7.23.1	-
运行在以下环境
应用	haxx	libcurl	7.24.0	-
运行在以下环境
应用	haxx	libcurl	7.25.0	-
运行在以下环境
应用	haxx	libcurl	7.26.0	-
运行在以下环境
应用	haxx	libcurl	7.27.0	-
运行在以下环境
应用	haxx	libcurl	7.28.0	-
运行在以下环境
应用	haxx	libcurl	7.28.1	-
运行在以下环境
应用	haxx	libcurl	7.29.0	-
运行在以下环境
应用	haxx	libcurl	7.30.0	-
运行在以下环境
应用	haxx	libcurl	7.7	-
运行在以下环境
应用	haxx	libcurl	7.7.1	-
运行在以下环境
应用	haxx	libcurl	7.7.2	-
运行在以下环境
应用	haxx	libcurl	7.7.3	-
运行在以下环境
应用	haxx	libcurl	7.8	-
运行在以下环境
应用	haxx	libcurl	7.8.1	-
运行在以下环境
应用	haxx	libcurl	7.9	-
运行在以下环境
应用	haxx	libcurl	7.9.1	-
运行在以下环境
应用	haxx	libcurl	7.9.2	-
运行在以下环境
应用	haxx	libcurl	7.9.3	-
运行在以下环境
应用	haxx	libcurl	7.9.4	-
运行在以下环境
应用	haxx	libcurl	7.9.5	-
运行在以下环境
应用	haxx	libcurl	7.9.6	-
运行在以下环境
应用	haxx	libcurl	7.9.7	-
运行在以下环境
应用	haxx	libcurl	7.9.8	-
运行在以下环境
系统	redhat_6	curl	*		Up to (excluding) 0:7.15.5-17.el5_9
运行在以下环境
系统	suse_12	curl	*		Up to (excluding) 7.37.0-2
运行在以下环境
系统	ubuntu_12.04.5_lts	curl	*		Up to (excluding) 7.22.0-3ubuntu4.2

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

传输被破坏
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-119	内存缓冲区边界内操作的限制不恰当

低危 cURL/libcURL 'curl_easy_unescape()'堆内存破坏漏洞

漏洞描述

解决建议

参考链接

受影响软件情况