Beliebte Tags:
Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

Curls Punkt-Desaster: Zwei CVEs und eine endlose Jagd

2025-05-15
Curls Punkt-Desaster: Zwei CVEs und eine endlose Jagd

Das Curl-Team hatte einen anhaltenden Kampf mit nachgestellten Punkten in Hostnamen von URLs. Anfangs wurden sie ignoriert, dann wurde die Unterstützung für Websites wiederhergestellt, die nachgestellte Punkte benötigen. Diese Änderung führte jedoch versehentlich zu zwei Sicherheitslücken (CVE-2022-27779 und CVE-2022-30115), die sich auf die Cookie-Verarbeitung und den HSTS-Mechanismus auswirken. Diese Schwachstellen resultierten aus einer falschen Behandlung von nachgestellten Punkten, was zu falschen Domain-Übereinstimmungen führte. Curl 7.83.1 behebt diese Probleme, aber der Autor vermutet, dass dies nur der Beginn eines langen Kampfes sein könnte.

(daniel.haxx.se)
Entwicklung
Jenseits von REST: Warum Zustandsynchronisierung die Zukunft von Webanwendungen ist
Die Renaissance kleiner und alter Technologien: Einfachheit und Datenschutz neu gedacht