В libcurl обнаружен баг, приводящий к утечке данных аутентификации

В libcurl обнаружен баг, приводящий к утечке данных аутентификации

В libcurl обнаружен баг, приводящий к утечке данных аутентификации

Если вы используете libcurl, инструмент командной строки и библиотеку для передачи данных с URL-адресами, рекомендуется обновиться. В libcurl обнаружили несколько недостатков, один из которых приводит к утечке данных аутентификации.

В официальном сообщении говорится, что библиотека может раскрыть данные аутентификации третьим лицам, проблема существует из-за того, как libcurl обрабатывает специальные заголовки в HTTP-запросах.

«При запросе на отправку заголовков в HTTP-запросах libcurl сначала отправит их на хост в исходном URL-адресе, кроме того, если это будет редирект с кодом HTTP-ответа 30X, данные будут отправлены на адрес, указанный в разделе “Location:”», — пишут специалисты.

Таким образом, приложения могут раскрыть учетные данные, либо данные, «которые могут позволить другим пользователям замаскироваться под запрос клиента libcurl».

Проблема получила идентификатор CVE-2018-1000007, утверждается, что она существует с версий, даже более ранних, чем curl 6.0, то есть где-то с сентября 1999.

Пользователям необходимо обновиться до curl 7.58.0. Если будет необходимо передать заголовок другим хостам, нужно использовать флаг --location-trusted.

Еще одна ошибка, CVE-2018-1000005, способна привести к сбою в работе libcurl. Однако она затрагивает только версии с 7.49.0 по 7.57.0.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

США заплатят $10 млн за помощь в поимке россиян по делу о взломе КИИ

Правительство США объявило о готовности заплатить до $10 млн за информацию, способствующую аресту троих граждан России, которых в 2021 году обвинили в проведении атак на критически важную инфраструктуру (КИИ).

По данным ФБР, Марат Тюков, Михаил Гаврилов и Павел Акулов являются участниками спонсируемой Кремлем кибергруппы Energetic Bear, она же Dragonfly и Crouching Yeti, которая в 2012 –2018 годах взломала и забэкдорила сети более 500 энергетических компаний в 135 странах.

Американцы считают поименованных россиян сотрудниками 16-го центра ФСБ России (рязанского управления спецслужбы). В новом анонсе Госдепа США, опубликованном в X в рамках программы вознаграждений за помощь правосудию, отображенную на фото троицу назвали «офицерами ФСБ, действовавшими по указке правительства России».

Релевантные сведения призывают сообщать по указанной ссылке через анонимную сеть Tor. Информаторам также обещают госзащиту.

 

Судя по алерту, опубликованному ФБР в прошлом месяце, глобальные атаки Energetic Bear с использованием давних уязвимостей, таких как CVE-2018-0171 в сетевых устройствах Cisco, актуальны и по сей день.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru