阿里云漏洞库

中危 curl存在敏感信息明文传输漏洞

CVE编号

CVE-2022-43551

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-12-21

漏洞描述

cURL是一个利用URL语法在命令行下工作的文件传输工具。

受影响版本存在敏感信息明文传输漏洞，原因是如果给定 URL 中的主机名首先使用 IDN 字符，这些字符在 IDN 转换过程中被替换为 ASCII 对应项则可以绕过 HSTS 机制，因此就可以绕过HSTS检查继续使用HTTP。

攻击者可以使用字符 UTF-8 U+3002（表意句号）而不是常见的 ASCII 句号（U+002E），那么在后续请求中，cURL不会检测 HSTS 状态并进行明文传输。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://hackerone.com/reports/1755083
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://security.gentoo.org/glsa/202310-12
https://security.netapp.com/advisory/ntap-20230427-0007/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	haxx	curl	*		Up to (excluding) 7.87.0
	运行在以下环境
	系统	alpine_3.14	curl	*		Up to (excluding) 7.79.1-r4
	运行在以下环境
	系统	alpine_3.15	curl	*		Up to (excluding) 7.80.0-r5
	运行在以下环境
	系统	alpine_3.16	curl	*		Up to (excluding) 7.83.1-r5
	运行在以下环境
	系统	alpine_3.17	curl	*		Up to (excluding) 7.87.0-r0
	运行在以下环境
	系统	alpine_3.18	curl	*		Up to (excluding) 7.87.0-r0
	运行在以下环境
	系统	alpine_3.19	curl	*		Up to (excluding) 7.87.0-r0
	运行在以下环境
	系统	amazon_2	curl	*		Up to (excluding) 7.87.0-2.amzn2.0.1
	运行在以下环境
	系统	amazon_2022	curl	*		Up to (excluding) 7.87.0-2.amzn2022.0.1
	运行在以下环境
	系统	amazon_2023	curl	*		Up to (excluding) 7.87.0-2.amzn2023.0.2
	运行在以下环境
	系统	debian_10	curl	*		Up to (excluding) 7.64.0-4+deb10u8
	运行在以下环境
	系统	debian_12	curl	*		Up to (excluding) 7.86.0-3
	运行在以下环境
	系统	fedoraproject	fedora	37	-
	运行在以下环境
	系统	fedora_36	curl	*		Up to (excluding) 7.82.0-12.fc36
	运行在以下环境
	系统	fedora_37	curl	*		Up to (excluding) 7.85.0-5.fc37
	运行在以下环境
	系统	opensuse_5.3	curl	*		Up to (excluding) 7.79.1-150400.5.12.1
	运行在以下环境
	系统	opensuse_Leap_15.4	curl	*		Up to (excluding) 7.79.1-150400.5.12.1
	运行在以下环境
	系统	ubuntu_22.04	curl	*		Up to (excluding) 7.81.0-1ubuntu1.7
	运行在以下环境
	系统	ubuntu_22.10	curl	*		Up to (excluding) 7.85.0-1ubuntu0.2

攻击路径

本地
攻击复杂度

复杂
权限要求

普通权限
影响范围

越权影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-319	敏感数据的明文传输