URL傳輸函式庫libcurl修補存在19年的認證漏洞

Curl項目安全信息報告指出，libcurl處理HTTP請求自定義的頭文件，會泄漏認證資料給第三方。

功能簡單但廣泛被應用的URL傳輸函式庫libcurl，日前揭露存在一個歷史久遠與認證有關的漏洞。目前漏洞已被修復，雖然尚未有災害或是漏洞被不當利用的信息傳出，但是仍建議使用者儘快更新到Curl 7.58.0版本。

根據Curl項目安全信息報告指出，libcurl處理HTTP請求自定義的頭文件，有機會泄漏認證資料給第三方。當HTTP請求自定義的頭文件，會將這組頭文件傳送給初始設定的主機，當被要求轉址或是取得30X的HTTP狀態碼，libcurl會把標頭中的值直接丟給轉址的第三方。由於自定義的標頭可能含有像是憑證，或是會被第三方仿效客戶端的敏感數據。

這個代號為CVE-2018-1000007的安全性問題，被追溯到第一次項目提交就已存在，版本號在Curl 6.0之前都可能被影響。此漏洞在Curl 7.58.0版本后被修正，往後頭文件只會傳送給初始的URL，除非使用CURLOPT_UNRESTRICTED_AUTH選項，也就是說libcurl需要有特別授權，在命令列工具下--location-trusted指令，頭文件才能被轉送到第三方。