【安全资讯】CVE-2024-11053：Curl漏洞导致用户凭证在重定向中暴露

概要：

近期发现的CVE-2024-11053漏洞，影响广泛使用的curl命令行工具和库，CVSS评分高达9.1，可能导致用户凭证的意外泄露。此漏洞源于.netrc文件存储凭证与curl处理HTTP重定向之间的交互，具有严重的安全隐患。

主要内容：

该漏洞在特定情况下出现，当curl配置为使用.netrc文件并跟随重定向时，可能会错误地将初始主机的密码泄露给重定向的主机。具体来说，如果.netrc文件中包含重定向目标主机名的条目，但省略了密码或同时省略了登录名和密码，curl将错误地使用初始主机的密码进行后续传输。例如，当curl从a.tld重定向到b.tld时，如果.netrc文件中a.tld有密码而b.tld没有，curl将错误地将a.tld的密码用于b.tld的传输，可能导致密码泄露。

此漏洞影响curl版本6.5至8.11.0，早于6.5和8.11.1及以后的版本不受影响。解决方案是升级到curl版本8.11.1，用户被强烈建议立即进行升级或应用提供的补丁并重建curl。作为临时解决办法，建议避免在重定向中使用.netrc文件。

由于curl和libcurl被许多应用广泛使用，且通常未明确提及，此漏洞的潜在凭证暴露可能导致未授权访问和敏感信息的泄露。因此，尽快采取措施修复此漏洞至关重要。