关键信息 漏洞详情 CVE编号: CVE-2016-8622 漏洞名称: URL unescape heap overflow via integer truncation 描述: 由于 函数在处理URL百分比解码时存在整数截断问题,导致在64位系统上可能触发堆溢出,从而写入堆缓冲区以外的内存。 严重性 CWE编号: CWE-122 (Heap-based Buffer Overflow) 严重等级: 中等 影响版本 受影响版本: curl 7.24.0 到 7.50.3 未受影响版本: curl = 7.51.0 引入版本: commit 75ca568fa1 解决方案 修复版本: curl 7.51.0 修复提交: commit 53e71e47d6b81650d26ec33a5 建议 1. 升级 curl 和 libcurl 至版本 7.51.0 2. 打补丁 并重新编译当前版本 时间线 报告时间: 2016年9月23日,由Cure53 联系方式: 2016年10月19日联系distros@openwall 发布版本: curl 7.51.0于2016年11月2日发布 致谢 报告人: Cure53 补丁作者: Daniel Stenberg 审计: 该漏洞是在由Cure53执行的安全开源审计中发现的