报告 #3268294 - curl GitHub仓库中的私密RSA私钥暴露

时间线

yousesf 向curl提交报告 · 13天前

描述

我发现curl GitHub仓库中的文件tests/data/stunnel.pem公开包含了一个私密RSA密钥及其证书。该文件包含PEM格式的RSA私钥，本应严格保密。

重现步骤

1. 访问curl GitHub仓库的以下URL： https://github.com/curl/curl/blob/cc872ebc192f64aa6360853fbdbf0476d05b9178/tests/data/stunnel.pem
2. 查看文件内容，其中包含私密RSA密钥和证书

建议缓解措施

• 立即从公共仓库中移除私钥和证书文件
• 如果这些密钥在任何环境中使用，请撤销并用新生成的密钥替换
• 使用环境变量或安全保险库存储敏感密钥，而不是将其包含在源代码仓库中

补充说明

• 该密钥似乎是1024位RSA，使用过时的签名算法（md5WithRSAEncryption）
• 证书有效性早已过期，表明这可能是测试密钥，但公开暴露仍然存在安全风险
• 考虑添加扫描工具或git预提交钩子以防止将来提交私钥
• 如果需要，我可以帮助定制此报告以提交或转换为特定的漏洞赏金平台格式

影响

私钥泄露会危及加密通信的安全性。如果这些密钥在生产或测试环境中使用，攻击者可以完全破坏安全通道或进行恶意身份验证。

公共仓库中私钥的暴露是一个关键安全风险，可能允许攻击者：

• 使用此密钥冒充服务器或服务
• 如果密钥在生产或测试环境中使用，解密敏感通信
• 进行中间人（MITM）攻击

附件

1个附件：F4603645: Screenshot_(171).png

处理状态

bagder (curl工作人员) · 13天前 关闭报告并将状态更改为"不适用"。 回复：“恭喜，你找到了测试套件。这不是安全问题。”

bagder (curl工作人员) · 13天前 请求披露此报告。 说明：“根据项目透明度政策，我们希望所有报告都公开披露。”

bagder (curl工作人员) · 13天前 披露了此报告。

报告详情

• 报告时间：2025年7月23日 20:03 UTC
• 报告者：yousesf
• 报告对象：curl
• 报告ID：#3268294
• 严重性：无评级 (—)
• 披露时间：2025年7月23日 20:55 UTC
• 弱点：敏感信息的不安全存储
• CVE ID：无
• 赏金：无
• 账户详情：无