N/A

The GnuTLS backend in libcurl 7.21.4 through 7.33.0, when disabling digital signature verification (CURLOPT_SSL_VERIFYPEER), also disables the CURLOPT_SSL_VERIFYHOST check for CN or SAN host name fields, which makes it easier for remote attackers to spoof servers and conduct man-in-the-middle (MITM) attacks.

N/A

N/A

Haxx Libcurl GnuTLS 输入验证漏洞

Haxx libcurl是瑞典Haxx公司的一个免费、开源的客户端URL传输库。该库支持FTP、FTPS、TFTP、HTTP等。 Libcurl 7.21.4至7.33.0版本中的GnuTLS后台中存在输入验证漏洞，当禁用数字签名验证(CURLOPT_SSL_VERIFYPEER)时，程序没有正确验证CN和SAN主机名字段。远程攻击者可利用该漏洞欺骗服务器，并实施中间人(MITM)攻击。

N/A

N/A