cURL および libcurl のデフォルト設定における重要な情報を取得される脆弱性(CVE-2015-3153)の内容
cURL および libcurl のデフォルト設定における重要な情報を取得される脆弱性(CVE-2015-3153)
- CVE-2015-3153
- JVNDB-2015-002535 http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-002535.html
- http://curl.haxx.se/docs/adv_20150429.html
の内容を簡単に確認してみた
Security Advisory : sensitive HTTP server headers also sent to proxies http://curl.haxx.se/docs/adv_20150429.html を読むと、、、
CURLOPT_HTTPHEADERや、コマンドラインの --header でカスタムHTTPヘッダーをつけられるけど、デフォルト設定だとProxyにも送ってしまう。
HTTPS CONNECT Proxyでも同様なので、付与したカスタムHTTPヘッダーに秘匿すべき情報(認証情報など)が入っているとProxyの管理者にもそれが見えてしまう。 ※
今回の修正7.42.1で、デフォルト設定でProxyにはカスタムHTTPヘッダーを送らないようになる。
問題となるのは、カスタムHTTPヘッダーに秘匿すべき情報(認証情報など)を入れている場合。
なお CURLOPT_COOKIE (または '--cookie' オプション) 又は HTTP auth オプションは元からこの問題はない(Proxyには送らない)ので、CURLOPT_HTTPHEADER(または '--header' オプション)を使っている場合のみ、問題となる
わざわざカスタムHTTPヘッダーで認証情報などを付与することはまずしないだろうから、実際に影響がある利用方法をしていることは少ないと思われる