Confira !!
libcurl não remove as credenciais do usuário da URL ao preencher automaticamente o Referer: campo de cabeçalho de solicitação HTTP em solicitações HTTP de saída e, portanto, corre o risco de vazar dados confidenciais para o servidor que é o destino da segunda solicitação HTTP. (CVE-2021-22876)
MGASA-2021-0186 - Pacotes curl atualizados corrigem vulnerabilidades de segurança
Data de publicação: 12 de abril de 2021
URL: https://advisories.mageia.org/MGASA-2021-0186.html
Tipo: segurança
Versões afetadas da Mageia: 7, 8
CVE: CVE-2021-22876,
CVE-2021-22890
libcurl não remove as credenciais do usuário da URL quando automaticamente
preencher o Referer: campo de cabeçalho de solicitação HTTP em solicitações HTTP de saída,
e, portanto, corre o risco de vazar dados confidenciais para o servidor que é o alvo do
a segunda solicitação HTTP. (CVE-2021-22876)
TLS 1.3 combinação de host proxy de tíquete de sessão. (CVE-2021-22890)
Referências:
- https://bugs.mageia.org/show_bug.cgi?id=28688
- https://curl.se/docs/CVE-2021-22876.html
- https://curl.se/docs/CVE-2021-22890.html
- https://curl.se/changes.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22876
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22890
SRPMS:
- 7 / core / curl-7.71.0-1.2.mga7
- 8 / core / curl-7.74.0-1.1.mga8
Até a próxima !!
Nenhum comentário:
Postar um comentário