libcurl堆缓冲区溢出漏洞分析

漏洞概述

在libcurl的curl_slist_append()函数（位于lib/slist.c:94）中存在堆缓冲区溢出漏洞。当函数被传入非空终止字符串时，内部的strdup()调用会触发strlen()读取超出分配缓冲区边界的数据，导致堆缓冲区溢出。该漏洞可通过各种处理用户控制字符串数据的libcurl API触发，且缺乏适当的空终止验证。

复现步骤

最小化复现代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

#include <curl/curl.h>
#include <stdlib.h>
#include <string.h>

int main() {
    char *buf = malloc(4);
    memcpy(buf, "\xbc\x07\x7a\x02", 4); // 无空终止符
    curl_slist_append(NULL, buf); // 💥 堆溢出
    free(buf);
}

编译命令

1
2

clang -fsanitize=address -g poc.c -lcurl -o curl_poc
./curl_poc

漏洞影响

影响评估

• 机密性：高 - 越界读取可能泄露敏感堆内存内容
• 完整性：低 - 写入能力有限
• 可用性：中 - 可能导致应用程序崩溃造成拒绝服务

攻击向量

• HTTP头部处理
• URL解析（包含畸形组件）
• Cookie处理
• 自定义请求方法
• 任何接受字符串参数的libcurl API

CVSS评分

• 分数：7.3（高）
• 向量：CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L

技术讨论

维护者观点

curl维护者认为此问题不属于安全漏洞，因为：

• curl_slist_append()文档明确要求输入为C字符串（空终止）
• 违反API约定的输入属于"Garbage In, Garbage Out"（GIGO）情况
• C语言规范中字符串定义即为空终止

研究者观点

研究者geeknik认为问题值得深入考虑：

• 内存安全是语言无关的，越界读取构成未定义行为
• libcurl作为API边界，在语言绑定（Rust、Python、Go等）中难以在FFI边界强制空终止
• 更好的API卫生（断言空终止、拒绝超大字符串）可主动发现问题

建议的缓解措施

1. 内部修复：使用断言或优雅的提前返回，如果strlen()读取超过N字节仍未找到空字符
2. 在模糊测试构建或加固构建中使用strnlen()并设置合理上限（如1024）
3. 将相关提交标记为加固改进而非安全修复

时间线

• 2025年6月29日：漏洞报告提交
• 2025年6月30日：报告被标记为"不适用"并公开披露

该漏洞虽然被维护者认定为API使用不当而非安全漏洞，但凸显了传统C API在现代内存安全环境中的挑战。