¿Está mi aplicación afectada por vulnerabilidades de rizo si utilizo HTTPS con un solo servidor?

2

Hasta este día se conocen dos vulnerabilidades en el curl 7.57.0. Ambos están relacionados con HTTP:

  • Fuga de autenticación HTTP en redirecciones
  • lectura de fuera de límites HTTP / 2 tráiler

Mi aplicación utiliza esta versión de curl y se comunica con un único servidor web codificado. El servidor tiene un nombre de dominio conocido y está controlado por una empresa de confianza. ¿Es la aplicación vulnerable a estas vulnerabilidades dado que siempre se usa HTTPS?

    
pregunta vkrzv 28.02.2018 - 10:54
fuente

1 respuesta

1

HTTPS no resuelve el problema

A juzgar por la descripción vinculada

  1. Fuga de autenticación HTTP en redirecciones: independientemente del protocolo , el cliente emite el encabezado Autorización: personalizada cuando se redirige.
  2. Específico para HTTP / 2. Puede o no estar influenciado por SSL

Por lo tanto, el consejo sería como se indica en la descripción del problema: parche o actualice su rizo.

    
respondido por el TimSparrow 28.02.2018 - 12:19
fuente

Lea otras preguntas en las etiquetas