ELinks 存在HTTPS POST请求信息泄露漏洞病毒

邮箱登录　　ID: PW:

您的位置: 网站首页 → 新闻中心 → 病毒 → ELinks 存在HTTPS POST请求信息泄露漏洞

ELinks 存在HTTPS POST请求信息泄露漏洞

编辑: 来源:赛迪网时间:2007-12-21 人气:

【绿盟科技授权，赛迪发布，谢绝任何网站转载，违者，赛迪网将保留追究其法律责任的权利！】

发布日期：2007-04-15

更新日期：2007-09-27

受影响系统：

ELinks ELinks 0.11.2

ELinks ELinks 0.11.1

ELinks ELinks 0.10.6

ELinks ELinks 0.10.4

不受影响系统：

ELinks ELinks 0.11.3

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 25799

CVE(CAN) ID: CVE-2007-5034

ELinks是一款开放源码的WEB浏览器。

ELinks实现HTTPS POST请求的方式存在漏洞，可能导致敏感信息泄露。

如果ELinks向HTTPS URL发送POST请求，且为HTTPS定义了代理，ELinks就会将POST请求的消息体和Content-*头以明文添加到CONNECT请求中，因此代理就可以嗅探到本应受到TLS保护的所有数据。

<*来源：Kalle Olavi Niemitalo

链接：http://bugzilla.elinks.cz/long_list.cgi?buglist=937

http://secunia.com/advisories/26956/

*>

建议：

--------------------------------------------------------------------------------

厂商补丁：

ELinks

------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://elinks.or.cz/download/elinks-0.11.3.tar.bz2

(责任编辑：李磊)