关键信息 漏洞概述 漏洞编号: CVE-2020-8284 CVE 类型: CWE-200 (暴露敏感信息给未经授权的实体) 风险等级: 低 受影响版本: curl 4.0 到 7.73.0 未受影响版本: curl >= 7.74.0 漏洞详情 问题描述: 在进行被动 FTP 传输时,curl 信任服务器的 响应中返回的 IP 地址,可能导致恶意服务器欺骗 curl 连接到特定的 IP 地址和端口,从而暴露私有信息。 原理: 通过 命令返回的响应,服务器指示客户端连接回特定的 IP 地址和端口号以进行数据传输。恶意服务器可以利用此响应欺骗 curl 连接到已知的 IP 地址和端口,从而进行端口扫描和服务标识提取。 解决方案 修复措施: 忽略响应中的 IP 地址,默认情况下将 设置为 代替 。 命令行工具: 使用 防止 curl 忽略服务器响应中的地址。 升级版本: 升级到 curl 版本 7.74.0 或更高版本。 推荐行动 立即行动: 升级 curl 到最新版本 7.74.0。 配置: 设置 为 或使用 。 禁用 FTP: 如非必要,禁用 FTP 的可用性。 时间线 发现日期: 2020 年 11 月 21 日 公告日期: 2020 年 12 月 9 日 致谢 报告人: Varnavas Papaioannou 修复者: Daniel Stenberg