Все бюллетени/p10/ALT-PU-2024-17523-2
ALT-PU-2024-17523-2

Обновление пакета curl в ветке p10

Версия8.11.1-alt1
Задание#366396
Опубликовано2024-12-28
Макс. серьёзностьCRITICAL
Серьёзность:

Закрытые проблемы (2)

BDU:2024-11106
CRITICAL9.1

Уязвимость обработчика netrc-файлов утилиты командной строки cURL, позволяющая нарушителю получить доступ к учётным данным

Опубликовано: 2024-12-16Изменено: 2026-03-18
CVSS 3.xКРИТИЧЕСКАЯ 9.1
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
CVSS 2.0КРИТИЧЕСКАЯ 9.4
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:N
Ссылки
CVE-2024-11053
LOW3.4

When asked to both use a `.netrc` file for credentials and to follow HTTP redirects, curl could leak the password used for the first host to the followed-to host under certain circumstances. This flaw only manifests itself if the netrc file has an entry that matches the redirect target hostname but the entry either omits just the password or omits both login and password.

Опубликовано: 2024-12-11Изменено: 2025-11-03
CVSS 3.xНИЗКАЯ 3.4
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N
Ссылки