报告 #3268294 - curl GitHub仓库中的私密RSA私钥暴露
时间线
yousesf 向 curl 提交报告(11天前)
描述
我发现 curl GitHub 仓库的 tests/data/stunnel.pem 文件中可公开访问一个私密 RSA 密钥及其证书。该文件包含 PEM 格式的 RSA 私钥,本应严格保密。
重现步骤
- 访问 curl GitHub 仓库的以下 URL: https://github.com/curl/curl/blob/cc872ebc192f64aa6360853fbdbf0476d05b9178/tests/data/stunnel.pem
- 查看文件内容,其中包含私密 RSA 密钥和证书。
建议的缓解措施
- 立即从公共仓库中移除私钥和证书文件。
- 如果这些密钥在任何环境中使用,撤销并用新生成的密钥替换。
- 使用环境变量或安全保险库存储敏感密钥,而非将其包含在源代码仓库中。
补充说明
- 该密钥似乎是 1024 位 RSA,使用过时的签名算法(md5WithRSAEncryption)。
- 证书有效期早已过期,表明这可能是测试密钥,但公开暴露仍构成安全风险。
- 考虑添加扫描工具或 git 预提交钩子,以防止未来提交私钥。
- 如果需要,我可以帮助定制此报告以提交或转换为特定漏洞赏金平台格式。
影响
- 私钥的泄露会危及加密通信的安全性。
- 如果这些密钥在生产或测试环境中使用,攻击者可以完全破坏安全通道或进行恶意认证。
- 私钥在公共仓库中的暴露是一个严重的安全风险,可能允许攻击者:
- 冒充使用此密钥的服务器或服务
- 如果密钥在生产或测试环境中使用,解密敏感通信
- 进行中间人(MITM)攻击
附件
1 个附件:F4603645: Screenshot_(171).png
处理状态
bagder (curl staff) 关闭报告并将状态改为“不适用”(11天前)
评论:“恭喜,你找到了测试套件。这不是安全问题。”
bagder (curl staff) 请求公开此报告(11天前)
评论:“根据项目的透明政策,我们希望所有报告都被公开并公之于众。”
bagder (curl staff) 公开此报告(11天前)
报告详情
- 报告时间:2025年7月23日 20:03 UTC
- 报告者:yousesf
- 报告对象:curl
- 报告 ID:#3268294
- 严重性:无评级(—)
- 公开时间:2025年7月23日 20:55 UTC
- 弱点:敏感信息的不安全存储
- CVE ID:无
- 赏金:无
- 账户详情:无