cURL プロジェクトによる報告：

libcurl 7.1から7.57.0は誤って第三者に認証データを漏洩する可能性があります。HTTPリクエストでカスタムヘッダーを送信するように要求されたとき、libcurlは最初のURLのホストにそのヘッダーのセットを送信しますが、リダイレクトに従うように要求され、30X HTTPレスポンスコードが返された場合は、「Location:」のURLに記載されたホストにもレスポンスヘッダー値を送信します。後続のホストに同じヘッダーセットを送信することは、カスタムの「Authorization:」ヘッダーを渡すアプリケーションにとって特に問題になります。このヘッダーには、他人がlibcurlを使用するクライアントのリクエストを偽装できるプライバシー秘密情報やデータが含まれることがあるためです。

検出

FreeBSD：cURL -- 複数の脆弱性（0cbf0fa6-dcb7-469c-b87a-f94cffd94583）

critical Nessus プラグイン ID 106424

変更ログが見つかりません