Hlavní navigace

Dvacet let stará chyba v libcurl umožňuje ukrást přihlašovací údaje

Petr Krčmář

Nově objevená bezpečnostní chyba v knihovně libcurl existovala určitě ještě před zářím 1999 a umožňuje útočníkovi ukrást přihlašovací údaje. Jedná se o knihovnu pro přenos souborů pomocí nejrůznějších protokolů, chyba se vyskytuje v části zpracovávající HTTP hlavičky. Knihovnu je možné pomocí vlastních HTTP hlaviček přesvědčit k odeslání údajů původně určených pro jiný server. Mohou tak unikat nejrůznější údaje včetně těch autentizačních.

Chyba označená jako CVE-2018–1000007 navíc existovala ještě před verzí 6.0, která vyšla v září 1999. Problém je tedy minimálně dvacet let starý a vyskytuje se na všech platformách. Oprava byla publikována na GitHubu a opravené vydání nese označení 7.58.0. Všechny dřívější verze jsou zranitelné.

Zároveň byla objevena také další nesouvisející bezpečnostní chyba CVE-2018–1000005, která souvisí s přetečením zásobníku při zpracováním dat při použití protokolu HTTP/2. Oprava je také součástí výše uvedené verze.

Našli jste v článku chybu?