av激情亚洲男人的天堂国语,日韩欧美精品一中文字幕,无码av一区二区三区无码,国产又色又爽又刺激的a片,国产又色又爽又刺激的a片

curl8.4.0正式發(fā)布,修復(fù)SOCKS5堆溢出漏洞,建議升級

curl 8.4.0 已正式發(fā)布,創(chuàng)始人 Daniel Stenberg(社區(qū)稱號 bagder)已提前一周預(yù)告了該版本 —— 修復(fù)高危安全漏洞,并稱該漏洞可能是很長一段時間以來 curl 遇到的最嚴(yán)重漏洞,同時影響到 libcurl 庫和 curl 工具。

創(chuàng)新互聯(lián)公司主營聞喜網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,重慶APP開發(fā),聞喜h5重慶小程序開發(fā)搭建,聞喜網(wǎng)站營銷推廣歡迎聞喜等地區(qū)企業(yè)咨詢

根據(jù)介紹,這個高危漏洞是 SOCKS5 堆溢出漏洞 (heap buffer overflow),該漏洞 (CVE-2023-38545) 導(dǎo)致 curl 在 SOCKS5 代理握手過程中溢出基于堆的緩沖區(qū)。

有開發(fā)者解釋稱,該漏洞出現(xiàn)的場景是輸入的域名太長,從而導(dǎo)致內(nèi)存溢出。當(dāng)然前提條件是使用了 SOCKS5 代理。 兩種典型的攻擊場景如下:

  1. 某些程序里內(nèi)置 libcurl,而允許外部用戶指定 socket5 代理以及輸入超長的域名,則可以發(fā)起攻擊
  2. 用戶在使用 curl 或者 libcurl 時,使用了 socket5 代理,并且 http 請求到惡意服務(wù)器,并且惡意服務(wù)器返回了 http 30x 跳轉(zhuǎn),把用戶訪問目標(biāo)指向一個超長域名從而導(dǎo)致溢出

另一個被評級為 "LOW" 的 CVE-2023-38546 漏洞是通過 none 文件進(jìn)行 cookie 注入。

此漏洞允許攻擊者在滿足一系列特定條件并將 cookie 放入應(yīng)用程序當(dāng)前目錄中名為 "none" 的文件的情況下,使用 libcurl 在運行的程序中任意插入 cookie。

詳情查看:https://daniel.haxx.se/blog/2023/10/11/curl-8-4-0/


本文題目:curl8.4.0正式發(fā)布,修復(fù)SOCKS5堆溢出漏洞,建議升級
轉(zhuǎn)載來于:http://uogjgqi.cn/article/dpdpgch.html
掃二維碼與項目經(jīng)理溝通

我們在微信上24小時期待你的聲音

解答本文疑問/技術(shù)咨詢/運營咨詢/技術(shù)建議/互聯(lián)網(wǎng)交流