cURL 開發(fā)者丹尼爾上周在博客中發(fā)布了一篇文章抨擊蘋果 “篡改” cURL 導(dǎo)致的蘋果 “安全問題”，這個問題最初是篡改篡改 2023 年 12 月有用戶提交的，跟蹤 ID 為 12604。行為性藍(lán)昆明東川區(qū)兼職大學(xué)生空乘上門服務(wù)[微信1662+044-1662][提供外圍女上門服務(wù)快速安排面到付款不收定金

丹尼爾針對該問題進(jìn)行調(diào)查后發(fā)現(xiàn)這并不是引起 cURL 的問題，而是滿種蘋果在部署中進(jìn)行了一些修改，為此丹尼爾發(fā)郵件給蘋果，實際蘋果安全團(tuán)隊還表示有意這么干的弱化，不需要 “修復(fù)”。安全

大概情況是點網(wǎng)昆明東川區(qū)兼職大學(xué)生空乘上門服務(wù)[微信1662+044-1662][提供外圍女上門服務(wù)快速安排面到付款不收定金這樣的：

cURL 允許開發(fā)者使用參數(shù) –cacert 來指定一組 CA 證書，如果 TLS 服務(wù)器無法對這組證書進(jìn)行驗證時，蘋果那么應(yīng)該失敗并返回錯誤。篡改篡改

這種特殊行為早在 2000 年 12 月就已經(jīng)添加到了 cURL 中，行為性藍(lán)這讓開發(fā)者可以只對特定的引起 CA 證書進(jìn)行信任，而不是滿種信任所有有效的 CA 證書，比如防止某些 CA 因為審核不嚴(yán)導(dǎo)致簽發(fā)錯誤證書進(jìn)行劫持。實際

在 macOS 中，開發(fā)者仍然可以使用這個參數(shù)，但蘋果的處理方法是檢查系統(tǒng)的 CA 存儲庫，也就是直接驗證蘋果在 macOS 中指定的那組 CA 證書，而不是開發(fā)者指定的一組 CA 證書。

因此當(dāng)開發(fā)者使用一組進(jìn)行編輯的特定 CA 證書時，正常情況下不包含在這組 CA 證書中的證書那應(yīng)該失敗，但如果這個 / 這些證書位于 macOS 存儲庫中，那么 cURL 不會返回失敗。

所以這實際上是一個安全缺陷。

針對此問題丹尼爾在 2023 年 12 月 29 日向蘋果安全團(tuán)隊報告，這不是一個大問題，但確實是個問題。

直到 2024 年 3 月 8 日蘋果才回復(fù)郵件：

Apple 版本的 OpenSSL (LibreSSL) 有意使用內(nèi)置系統(tǒng)信任存儲作為默認(rèn)信任源，由于可以使用內(nèi)置系統(tǒng)存儲成功驗證服務(wù)器證書，因此我們認(rèn)為不需要在我們的平臺中解決。

對于這個說法丹尼爾并不同意，因為實際上這篡改了 cURL，這個未記錄的功能使得 macOS 用戶使用 cURL 時，CA 驗證完全不可靠并且與 cURL 的文檔不符，這是蘋果在欺騙用戶。

問題是這并不是 cURL 的問題，因此丹尼爾無法發(fā)布 CVE 或任何內(nèi)容，于是現(xiàn)在問題陷入了僵局。

本文地址：http://www.jclrz.cn/html/31e19399775.html