Delicious Digg Facebook Favorites More Stumbleupon Twitter

Vigil@nce – cURL : envoi des entêtes au proxy

-

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut capturer les entêtes envoyés par cURL au proxy, afin d’obtenir des informations sensibles.

Produits concernés : cURL, Debian, openSUSE, Shibboleth Service Provider, Ubuntu

Gravité : 2/4

Date création : 29/04/2015

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit cURL peut être configuré pour utiliser un proxy afin de joindre les serveurs distants.

L’option « —header » (ou CURLOPT_HTTPHEADER) de cURL permet à l’utilisateur de définir des entêtes additionnels pour la requête HTTP. Cependant, par défaut, ces entêtes sont aussi envoyés au proxy, même si la session vers le serveur distant utilise TLS.

Un attaquant peut donc capturer les entêtes envoyés par cURL au proxy, afin d’obtenir des informations sensibles.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/c…

Source:: Global Security Mag

Text Widget

Aliquam ut tellus ligula. Nam blandit massa nec neque rutrum a euismod t ellus ultricies! Phasellus nulla tellus, fringilla quis tristique ornare, condi mentum non erat. Aliquam congue or nare varius.