报告 #3268294 - curl GitHub仓库中私密RSA私钥暴露

描述

在curl GitHub仓库的tests/data/stunnel.pem文件中发现可公开访问的私密RSA密钥及证书。该文件包含PEM格式的RSA私钥，本应严格保密。

重现步骤

1. 访问curl GitHub仓库以下URL： https://github.com/curl/curl/blob/cc872ebc192f64aa6360853fbdbf0476d05b9178/tests/data/stunnel.pem
2. 查看文件内容，可见私密RSA密钥和证书

修复建议

• 立即从公开仓库移除私钥和证书文件
• 若这些密钥在任何环境中使用，应撤销并替换为新生成密钥
• 使用环境变量或安全保险库存储敏感密钥，而非包含在源代码仓库中

补充说明

• 密钥为1024位RSA并使用过时的签名算法（md5WithRSAEncryption）
• 证书有效期早已过期，表明可能是测试密钥，但公开暴露仍存在安全风险
• 建议添加扫描工具或git预提交钩子以防止未来提交私钥

影响

• 私钥泄露会危及加密通信安全
• 若这些密钥在生产或测试环境中使用，攻击者可完全破坏安全通道或进行恶意认证
• 公开仓库中的私钥暴露是严重安全风险，攻击者可：
  • 使用该密钥冒充服务器或服务
  • 解密生产或测试环境中的敏感通信
  • 实施中间人（MITM）攻击

时间线

• 2025年7月23日 20:03 UTC：yousesf提交报告
• 2025年7月23日 20:11 UTC：curl工作人员关闭报告，状态改为"不适用"（发现测试套件，非安全问题）
• 2025年7月23日 20:12 UTC：curl工作人员请求公开报告（遵循项目透明政策）
• 2025年7月23日 20:55 UTC：报告被公开

报告详情

• 报告ID：#3268294
• 严重程度：无评级（—）
• 弱点：敏感信息的不安全存储
• CVE ID：无
• 赏金：无