项目介绍
libcurl是一个跨平台的网络协议库,支持http、https、ftp等多种协议。
项目地址
https://github.com/curl/curl/releases
影响版本
7.69.0-8.3.0
漏洞分析
漏洞成因在于使用SOCKS5代理过程中造成的溢出。当Curl程序使用 SOCKS5代理时,设置主机名最大长度为255字节。当程序匹配主机名超过255字节时,会使用本地主机来解析用户输入的地址,并将解析后的地址传递给代理。
Curl工具中使用 SOCKS5 代理相关命令触发此漏洞,建议关注是否使用相关命令,如使用socks5h选项等。
修复方式
官方已修复该漏洞,建议用户更新到安全版本,升级到 >= 8.4.0
