外媒 1 月 25 日消息，研究人员发现客户端 URL 传输库 libcurl 正受到一些漏洞影响。其中一个在很大程度上与 HTTP 请求中处理自定义标头的方式有关，可能会导致认证数据泄露给第三方。 除此之外，一个 “HTTP/2 trailer out-of-bounds read ” 的漏洞也对 libcurl 造成了一定困扰。

HTTP 请求中处理自定义标头

当被要求在 HTTP 请求中发送自定义标头时，libcurl 会首先将这组标头发送给初始 URL 中的主机。但若被要求遵循重定向，并且返回一个 30X 的 HTTP 响应代码，那么 libcurl  则会发送给响应头值中的 URL 所提及的主机。

研究人员称，将同一组标头发送到子序列主机对于传递自定义 Authorization 的应用程序来说是一个特殊的问题。因为这组标头通常包含敏感的信息和数据， 可能会被攻击者滥用来模拟 libcurl-using 客户端请求。

这一漏洞被跟踪为 CVE-2018-1000007 ，在 1999 年就已出现。目前受影响的是 libcurl 7.1 至 7.57.0  的版本，后续版本（7.58.0）不受影响。

HTTP/2 trailer 越界读取漏洞

进行访问时数据会被越界读取，从而导致崩溃或者（太大的）数据被传递给 libcurl 回调。若有人的服务能够响应或使用 trailer 头域，那么很可能会导致拒绝服务或信息泄露的情况出现。

该漏洞被跟踪为 CVE-2018-1000005 ， 影响 libcurl 7.49.0 至  7.57.0 的版本。所幸目前研究人员并没有发现到这个漏洞在野外被利用。

(责任编辑：冬天的宇)