ROS-20220516-09

Идентификатор БДУ ФСТЭК России:

Описание уязвимости:

Уязвимость утилиты командной строки cURL связана с утечкой данных аутентификации или заголовков файла cookie во время перенаправления HTTP на тот же хост, но с другим номером порта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, ошибочно отправить тот же набор заголовков на хосты, которые идентичны первому, но используют другой номер порта или схему URL

Идентификатор БДУ ФСТЭК России:

Описание уязвимости:

Уязвимость утилиты командной строки cURL связана с неправильным управлением внутренними ресурсами при работе с протоколом IPv6. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, привести к неправильному соединению, когда одна передача использует идентификатор зоны, а последующая передача использует другой (или не использует) идентификатор зоны

Идентификатор БДУ ФСТЭК России:

Описание уязвимости:

Уязвимость утилиты командной строки cURL связана с попытками приложения выполнить перенаправления во время процесса аутентификации и не рассматривает разные номера портов или протоколы как отдельные цели аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить перенаправление на другой номер порта протокола, и таким образом заставит cURL разрешить такое перенаправление и передать учетные данные

Идентификатор БДУ ФСТЭК России:

Описание уязвимости:

Уязвимость утилиты командной строки cURL связана с ошибками повторного использования соединений OAUTH2 для протоколов с поддержкой SASL, таких как SMPTP(S), IMAP(S), POP3(S) и LDAP(S) (только openldap). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повторно использовать соединения с аутентификацией OAUTH2, не убедившись должным образом, что соединение было аутентифицировано с теми же учетными данными, которые установлены для этой передачи