cURL 開發(fā)者丹尼爾上周在博客中發(fā)布了一篇文章抨擊蘋果 “篡改” cURL 導(dǎo)致的蘋果 “安全問題”,這個(gè)問題最初是篡改篡改 2023 年 12 月有用戶提交的,跟蹤 ID 為 12604。行為性藍(lán)哈爾濱包夜外圍上門外圍女姐(電話微信189-4469-7302)一二線城市均可安排、高端一手資源、高質(zhì)量外圍女模特空姐、學(xué)生妹應(yīng)有盡有
丹尼爾針對(duì)該問題進(jìn)行調(diào)查后發(fā)現(xiàn)這并不是引起 cURL 的問題,而是滿種蘋果在部署中進(jìn)行了一些修改,為此丹尼爾發(fā)郵件給蘋果,實(shí)際蘋果安全團(tuán)隊(duì)還表示有意這么干的弱化,不需要 “修復(fù)”。安全
大概情況是點(diǎn)網(wǎng)哈爾濱包夜外圍上門外圍女姐(電話微信189-4469-7302)一二線城市均可安排、高端一手資源、高質(zhì)量外圍女模特空姐、學(xué)生妹應(yīng)有盡有這樣的:
cURL 允許開發(fā)者使用參數(shù) –cacert 來指定一組 CA 證書,如果 TLS 服務(wù)器無法對(duì)這組證書進(jìn)行驗(yàn)證時(shí),蘋果那么應(yīng)該失敗并返回錯(cuò)誤。篡改篡改
這種特殊行為早在 2000 年 12 月就已經(jīng)添加到了 cURL 中,行為性藍(lán)這讓開發(fā)者可以只對(duì)特定的引起 CA 證書進(jìn)行信任,而不是滿種信任所有有效的 CA 證書,比如防止某些 CA 因?yàn)閷徍瞬粐?yán)導(dǎo)致簽發(fā)錯(cuò)誤證書進(jìn)行劫持。實(shí)際
在 macOS 中,開發(fā)者仍然可以使用這個(gè)參數(shù),但蘋果的處理方法是檢查系統(tǒng)的 CA 存儲(chǔ)庫,也就是直接驗(yàn)證蘋果在 macOS 中指定的那組 CA 證書,而不是開發(fā)者指定的一組 CA 證書。
因此當(dāng)開發(fā)者使用一組進(jìn)行編輯的特定 CA 證書時(shí),正常情況下不包含在這組 CA 證書中的證書那應(yīng)該失敗,但如果這個(gè) / 這些證書位于 macOS 存儲(chǔ)庫中,那么 cURL 不會(huì)返回失敗。
所以這實(shí)際上是一個(gè)安全缺陷。
針對(duì)此問題丹尼爾在 2023 年 12 月 29 日向蘋果安全團(tuán)隊(duì)報(bào)告,這不是一個(gè)大問題,但確實(shí)是個(gè)問題。
直到 2024 年 3 月 8 日蘋果才回復(fù)郵件:
Apple 版本的 OpenSSL (LibreSSL) 有意使用內(nèi)置系統(tǒng)信任存儲(chǔ)作為默認(rèn)信任源,由于可以使用內(nèi)置系統(tǒng)存儲(chǔ)成功驗(yàn)證服務(wù)器證書,因此我們認(rèn)為不需要在我們的平臺(tái)中解決。
對(duì)于這個(gè)說法丹尼爾并不同意,因?yàn)閷?shí)際上這篡改了 cURL,這個(gè)未記錄的功能使得 macOS 用戶使用 cURL 時(shí),CA 驗(yàn)證完全不可靠并且與 cURL 的文檔不符,這是蘋果在欺騙用戶。
問題是這并不是 cURL 的問題,因此丹尼爾無法發(fā)布 CVE 或任何內(nèi)容,于是現(xiàn)在問題陷入了僵局。
相關(guān)文章
精彩導(dǎo)讀
熱門資訊
關(guān)注我們
