Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04403

Опубликовано: 18 янв. 2018
Источник: fstec
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Описание

Уязвимость библиотеки libcurl связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

Canonical Ltd.
Red Hat Inc.
Сообщество свободного программного обеспечения
Oracle Corp.
Daniel Stenberg
ООО «Ред Софт»

Наименование ПО

Ubuntu
Red Hat Enterprise Linux
Debian GNU/Linux
Fujitsu M10-1
Fujitsu M10-4
Fujitsu M10-4S
Fujitsu M12-1
Fujitsu M12-2
Fujitsu M12-2S
Libcurl
РЕД ОС

Версия ПО

14.04 LTS (Ubuntu)
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
17.10 (Ubuntu)
12.04 ESM (Ubuntu)
8 (Debian GNU/Linux)
7 (Debian GNU/Linux)
до XCP2361 (Fujitsu M10-1)
до XCP3070 (Fujitsu M10-1)
до XCP2361 (Fujitsu M10-4)
до XCP3070 (Fujitsu M10-4)
до XCP2361 (Fujitsu M10-4S)
до XCP3070 (Fujitsu M10-4S)
до XCP2361 (Fujitsu M12-1)
до XCP3070 (Fujitsu M12-1)
до XCP3070 (Fujitsu M12-2)
до XCP2361 (Fujitsu M12-2)
до XCP2361 (Fujitsu M12-2S)
до XCP3070 (Fujitsu M12-2S)
от 6.0 до 7.57.0 включительно (Libcurl)
до 7.2 Муром (РЕД ОС)

Тип ПО

Операционная система
ПО сетевого программно-аппаратного средства
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 14.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 17.10
Canonical Ltd. Ubuntu 12.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 7

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Libcurl:
https://curl.haxx.se/docs/CVE-2018-1000007.html
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuoct2019.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2018-1000007?extIdCarryOver=true&sc_cid=701f2000001OH7JAAW
Для Ubuntu:
https://usn.ubuntu.com/3554-1/
https://usn.ubuntu.com/3554-2/
Для Debian:
https://lists.debian.org/debian-lts-announce/2018/01/msg00038.html
https://www.debian.org/security/2018/dsa-4098
Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 86%
0.02928
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-1000007

CVSS3: 9.8
ubuntu
почти 8 лет назад

libcurl 7.1 through 7.57.0 might accidentally leak authentication data to third parties. When asked to send custom headers in its HTTP requests, libcurl will send that set of headers first to the host in the initial URL but also, if asked to follow redirects and a 30X HTTP response code is returned, to the host mentioned in URL in the `Location:` response header value. Sending the same set of headers to subsequent hosts is in particular a problem for applications that pass on custom `Authorization:` headers, as this header often contains privacy sensitive information or data that could allow others to impersonate the libcurl-using client's request.

redhat логотип

CVE-2018-1000007

CVSS3: 6.5
redhat
почти 8 лет назад

libcurl 7.1 through 7.57.0 might accidentally leak authentication data to third parties. When asked to send custom headers in its HTTP requests, libcurl will send that set of headers first to the host in the initial URL but also, if asked to follow redirects and a 30X HTTP response code is returned, to the host mentioned in URL in the `Location:` response header value. Sending the same set of headers to subsequent hosts is in particular a problem for applications that pass on custom `Authorization:` headers, as this header often contains privacy sensitive information or data that could allow others to impersonate the libcurl-using client's request.

nvd логотип

CVE-2018-1000007

CVSS3: 9.8
nvd
почти 8 лет назад

libcurl 7.1 through 7.57.0 might accidentally leak authentication data to third parties. When asked to send custom headers in its HTTP requests, libcurl will send that set of headers first to the host in the initial URL but also, if asked to follow redirects and a 30X HTTP response code is returned, to the host mentioned in URL in the `Location:` response header value. Sending the same set of headers to subsequent hosts is in particular a problem for applications that pass on custom `Authorization:` headers, as this header often contains privacy sensitive information or data that could allow others to impersonate the libcurl-using client's request.

debian логотип

CVE-2018-1000007

CVSS3: 9.8
debian
почти 8 лет назад

libcurl 7.1 through 7.57.0 might accidentally leak authentication data ...

suse-cvrf логотип

openSUSE-SU-2018:0236-1

suse-cvrf
почти 8 лет назад

Security update for curl

EPSS

Процентиль: 86%
0.02928
Низкий

7.5 High

CVSS3

5 Medium

CVSS2