curl 8.5.0 OCSP 验证绕过 (CVE-2024-0853)

漏洞类型 证书撤销验证不恰当 发现时间 2024-01-31 漏洞等级 低危
MPS编号 MPS-phcs-y3ga CVE编号 CVE-2024-0853 漏洞影响广度 广

漏洞危害

OSCS 描述
curl 是用于在各种网络协议之间传输数据的命令行工具。
该漏洞导致即使在线证书状态协议(OCSP stapling)测试失败,curl也会在其缓存中保留SSL会话ID。这意味着,如果会话ID缓存仍然有效,对同一主机名的后续传输可能会成功并跳过验证状态检查。此问题仅限于使用OpenSSL构建的curl,并且仅在使用TLS 1.2时出现,不影响TLS 1.3。解决此问题的措施包括升级到curl 8.6.0版本,应用补丁,不使用基于OpenSSL的curl,或不允许传输使用TLS 1.2。
参考链接:https://www.oscs1024.com/hd/MPS-phcs-y3ga

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
参考链接:https://www.oscs1024.com/hd/MPS-phcs-y3ga

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-phcs-y3ga

https://github.com/curl/curl/commit/395365ad2d9a6c3f1a35d

https://github.com/curl/curl/commit/c28e9478cb2548848ec

(0)
上一篇 2024年1月31日 下午10:00
下一篇 2024年2月1日 下午12:00

相关推荐

  • Node.js HTTP/2 CONTINUATION 拒绝服务漏洞 (CVE-2024-27983)

    漏洞类型 可达断言 发现时间 2024-04-04 漏洞等级 高危 MPS编号 MPS-i9bf-a843 CVE编号 CVE-2024-27983 漏洞影响广度 一般 漏洞危害 OSCS 描述 Node.js 是开源、跨平台的 JavaScript 运行时环境。CONTINUATION泛洪攻击被发现存在于多个HTTP/2协议实现中。 在受影响版本中,由于N…

    2024年4月6日
    0
  • sentry/nextjs <7.77.0 SSRF漏洞 (CVE-2023-46729)

    漏洞类型 SSRF 发现时间 2023-11-10 漏洞等级 严重 MPS编号 MPS-eg1f-zcy9 CVE编号 CVE-2023-46729 漏洞影响广度 一般 漏洞危害 OSCS 描述 Sentry是一个开源的实时事件日志监控、记录和聚合平台,Sentry Next.js 是 JavaScript 官方 Sentry SDK 由于没有使用正确的正则…

    2023年11月10日
    0
  • GitLab 16.9存储型XSS漏洞 (CVE-2024-1451)

    漏洞类型 XSS 发现时间 2024-02-22 漏洞等级 高危 MPS编号 MPS-32tr-yco1 CVE编号 CVE-2024-1451 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。 GitLab 受影响版本中的用户资料页面存在存储型XSS漏洞,攻击者可将恶意载荷添加到个人资料(…

    2024年2月23日
    0
  • SugarCRM 存在二阶PHP对象注入漏洞 (CVE-2023-35810)

    漏洞类型 代码注入 发现时间 2023/6/19 漏洞等级 高危 MPS编号 MPS-lf2x-y6h4 CVE编号 CVE-2023-35810 漏洞影响广度 一般 漏洞危害 OSCS 描述 SugarCRM 是一款开源的客户关系管理(CRM)软件。受影响版本中,由于缺少输入验证,DocuSign 模块中存在二阶 PHP 对象注入漏洞。具有管理员权限的攻击…

    2023年8月30日
    0
  • mvel2 ParseTools.subCompileExpression方法存在拒绝服务风险 (CVE-2023-51079)

    漏洞类型 拒绝服务 发现时间 2023-12-29 漏洞等级 中危 MPS编号 MPS-nhc1-imz2 CVE编号 CVE-2023-51079 漏洞影响广度 小 漏洞危害 OSCS 描述 mvel2 是用于Java平台的嵌入式表达式语言,用于通过配置文件向用户提供程序逻辑。 mvel2 v2.5.1 Final版本及之前版本中,ParseTools.s…

    2023年12月29日
    0