发布日期：2003-08-03
更新日期：2003-08-21

受影响系统：

Daniel Stenberg curl 7.4.1
Daniel Stenberg curl 7.4
Daniel Stenberg curl 7.3
Daniel Stenberg curl 7.2.1
Daniel Stenberg curl 7.2
Daniel Stenberg curl 7.10.6
Daniel Stenberg curl 7.10.5
Daniel Stenberg curl 7.10.4
Daniel Stenberg curl 7.10.3
Daniel Stenberg curl 7.10.1
Daniel Stenberg curl 7.1.1
Daniel Stenberg curl 7.1

不受影响系统：

Daniel Stenberg curl 7.10.7

描述：

---

BUGTRAQ  ID: 8432

curl是一个利用HTTP、HTTPS、FTP、GOPHER、DICT、TELNET、LDAP等协议来传输文件的客户端程序。

cURL当提交CONNECT方法请求并使用代理验证时存在问题，可导致把代理验证头信息泄露给远程主机。

curl 7.10.6及早期版本存在一个缺陷可导致泄露代理的用户名和密码给远程主机。 当在CONCECT请求(如用于SLL连接或tunnel-thru-proxy请求)中使用代理验证时，验证代理服务器的头字段信息会发送给远程主机，导致远程主机用户获得代理服务器敏感信息。

<*来源：Daniel Stenberg （daniel@haxx.se）
  
  链接：http://curl.haxx.se/mail/lib-2003-08/0014.html
*>

建议：

---

厂商补丁：

Daniel Stenberg
---------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Daniel Stenberg Upgrade cURL 7.10.7
http://curl.haxx.se/download.html

浏览次数：2809
严重程度：0（网友投票）