项目介绍

libcurl是一个跨平台的网络协议库，支持http、https、ftp等多种协议。

项目地址

0cfK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6U0N6i4u0D9i4K6u0r3j5%4g2J5L8q4)9J5c8Y4u0W2L8r3g2S2M7$3g2K6

影响版本

7.69.0-8.3.0

漏洞分析

漏洞成因在于使用SOCKS5代理过程中造成的溢出。当Curl程序使用 SOCKS5代理时，设置主机名最大长度为255字节。当程序匹配主机名超过255字节时，会使用本地主机来解析用户输入的地址，并将解析后的地址传递给代理。

Curl工具中使用 SOCKS5 代理相关命令触发此漏洞，建议关注是否使用相关命令，如使用socks5h选项等。

修复方式

官方已修复该漏洞，建议用户更新到安全版本，升级到 >= 8.4.0

参考链接

• dfcK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6U0N6i4u0D9i4K6u0r3j5%4g2J5L8q4)9J5c8X3c8A6M7$3y4#2M7%4y4A6L8$3&6K6i4K6u0r3x3e0t1H3x3U0j5`.
• b3eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5j5h3y4C8k6i4u0G2L8X3g2Q4x3X3g2U0L8$3#2Q4x3V1k6J5k6i4m8G2M7Y4c8K6i4K6u0r3x3U0p5^5y4K6R3K6x3H3`.`.