URL传输函式库libcurl修补存在19年的认证漏洞

功能简单但广泛被应用的URL传输函式库libcurl，日前揭露存在一个历史久远与认证有关的漏洞。目前漏洞已被修复，虽然尚未有灾害或是漏洞被不当利用的资讯传出，但是仍建议使用者儘快更新到Curl 7.58.0版本。

根据Curl专案安全资讯报告指出，libcurl处理HTTP请求自定义的标头档，有机会洩漏认证资料给第三方。当HTTP请求自定义的标头档，会将这组标头档传送给初始设定的主机，当被要求转址或是取得30X的HTTP状态码，libcurl会把标头中的值直接丢给转址的第三方。由于自定义的标头可能含有像是凭证，或是会被第三方仿效客户端的敏感资料。

这个代号为CVE-2018-1000007的安全性问题，被追溯到第一次专案提交就已存在，版本号在Curl 6.0之前都可能被影响。此漏洞在Curl 7.58.0版本后被修正，往后标头档只会传送给初始的URL，除非使用CURLOPT_UNRESTRICTED_AUTH选项，也就是说libcurl需要有特别授权，在命令列工具下--location-trusted指令，标头档才能被转送到第三方。

报告建议使用者更新到Curl 7.58.0版本，或是依照版本使用补丁，重新建立程式。如果使用自定义标头档，还建议关闭CURLOPT_FOLLOWLOCATION选项。