読者です 読者をやめる 読者になる 読者になる

cURL および libcurl のデフォルト設定における重要な情報を取得される脆弱性(CVE-2015-3153)の内容

cURL および libcurl のデフォルト設定における重要な情報を取得される脆弱性(CVE-2015-3153)

の内容を簡単に確認してみた

Security Advisory : sensitive HTTP server headers also sent to proxies http://curl.haxx.se/docs/adv_20150429.html を読むと、、、

CURLOPT_HTTPHEADERや、コマンドラインの --header でカスタムHTTPヘッダーをつけられるけど、デフォルト設定だとProxyにも送ってしまう。

HTTPS CONNECT Proxyでも同様なので、付与したカスタムHTTPヘッダーに秘匿すべき情報(認証情報など)が入っているとProxyの管理者にもそれが見えてしまう。 ※

今回の修正7.42.1で、デフォルト設定でProxyにはカスタムHTTPヘッダーを送らないようになる。

問題となるのは、カスタムHTTPヘッダーに秘匿すべき情報(認証情報など)を入れている場合。

なお CURLOPT_COOKIE (または '--cookie' オプション) 又は HTTP auth オプションは元からこの問題はない(Proxyには送らない)ので、CURLOPT_HTTPHEADER(または '--header' オプション)を使っている場合のみ、問題となる

わざわざカスタムHTTPヘッダーで認証情報などを付与することはまずしないだろうから、実際に影響がある利用方法をしていることは少ないと思われる