Уязвимость в libcurl приводит к раскрытию данных аутентификации

В библиотеке libcurl обнаружена уязвимость (CVE-2018-1000007), приводящая к раскрытию данных аутентификации. Проблема связана с обработкой libcurl специальных заголовков в HTTP-запросах.

Перед отправкой кастомизированных заголовков в HTTP-запросах libcurl сначала отправляет набор этих заголовков хосту в первоначальном URL-адресе. Однако если это будет редирект, и HTTP-ответ будет с кодом 30X, данные также отправятся на адрес, указанный в «Location:». Отправка того же самого набора заголовков последующим хостам является проблемой в частности для приложений, передающих кастомизированные заголовки «Authorization:». Такой заголовок обычно содержит конфиденциальную информацию или данные, с помощью которых злоумышленник может подделать запрос клиента, использующего libcurl.

Проблема затрагивает версии libcurl с 7.1 по 7.57.0 включительно. В libcurl 7.58.0 и выше уязвимость уже отсутствует. Никаких данных об эксплуатации проблемы злоумышленниками в настоящее время не поступало.

libcurl – свободная и простая в использовании клиентская библиотека для передачи данных по URL. libcurl поддерживает DICT, FILE, FTP, FTPS, GOPHER, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, TELNET и TFTP. Кроме того, в библиотеке реализована поддержка SSL сертификатов, HTTP POST, HTTP PUT, загрузок по FTP, cookie-файлов, user+password авторизации (Basic, Digest, NTLM, Negotiate, Kerberos) и пр.