HTTP/3/QUIC TLS密码套件配置错误漏洞分析

TLS密码套件在HTTP/3/QUIC支持中的错误配置

漏洞摘要

当使用curl命令的--ciphers选项手动指定TLS密码套件时会出现此漏洞。在此场景下HTTP/3或QUIC无法正常工作,因为QUIC不依赖于为TLS 1.2或更早版本定义的传统TLS密码套件。因此,当尝试访问仅支持HTTP/3或QUIC的端点时,使用--ciphers选项会导致连接失败。

技术细节

  • curl实现问题 :curl中的--ciphers选项不会区分传统TLS协议(TLS 1.2/1.3)和QUIC,在指定不兼容密码套件时会导致配置冲突
  • 协议不匹配 :HTTP/3使用QUIC协议,该协议无法使用--ciphers选项指定的传统TLS密码套件

受影响版本

bash 复制代码
curl 8.11.1 (x86_64-pc-linux-gnu) 
libcurl/8.11.1 OpenSSL/3.3.2 
zlib/1.3.1 brotli/1.1.0 zstd/1.5.6 
c-ares/1.34.3 libidn2/2.3.7 libpsl/0.21.5 
libssh2/1.11.1 nghttp2/1.64.0 nghttp3/1.6.0
Release-Date: 2024-12-11

重现步骤

bash 复制代码
curl --disable -v --http3-only --ciphers \
'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:...' \
https://1.1.1.1/cdn-cgi/trace

错误输出

yaml 复制代码
*   Trying 1.1.1.1:443...
* failed setting cipher list: ECDHE-ECDSA-AES128-GCM-SHA256:...
* QUIC connect to 1.1.1.1 port 443 failed: Could not use specified SSL cipher
* Failed to connect to 1.1.1.1 port 443 after 0 ms: Could not use specified SSL cipher
* closing connection #0
curl: (59) failed setting cipher list: ECDHE-ECDSA-AES128-GCM-SHA256:...

影响范围

  • 尝试将curl与--ciphers选项用于HTTP/3或QUIC连接的用户会遇到连接失败
  • 此问题可能会破坏依赖curl与HTTP/3/QUIC服务器交互的自动化流程或脚本

相关参考

时间线

  • 2025-02-07 22:09 UTC:zzq1015提交漏洞报告
  • 2025-02-07 22:11 UTC:curl团队成员bagder请求说明安全问题细节
  • 2025-02-08 07:12 UTC:团队成员jimfuller2024建议提交代码修复
  • 2025-02-10 12:26 UTC:报告状态变更为"不适用"
  • 2025-07-06 21:05 UTC:报告被公开披露

状态 :已披露 | 严重等级 :无评级 | CVE ID :无 | 赏金:无

相关推荐
技术小黑几秒前
CNN算法实战系列08 | ResNeXt-50算法实战与猴痘病识别
人工智能·算法·cnn
四川国阜传动设备有限公司3 分钟前
如何根据电机功率正确计算减速机输出扭矩?
人工智能·搜索引擎
格子软件5 分钟前
2026年GEO优化系统源码级状态机与多模型调度拆解
java·前端·vue.js·人工智能·vue·geo
数据百晓通10 分钟前
重构数据治理范式:2026 主流企业级数据治理平台对标与精准选型
大数据·人工智能·重构
CTA终结者21 分钟前
2026年AI量化提效,工具重点要按阶段调整
人工智能·python
zhangfeng113323 分钟前
算子开发 Overwrite 覆盖/替换模式 Accumulate 累加模式,性能对比 memset错误 bat_alloc 错误
c语言·人工智能·gnu·算子开发
zzz_236832 分钟前
从 200 行规则到一条好渠——Agent 工程化的踩坑与解法
人工智能·agent
Bruce_Liuxiaowei36 分钟前
2026年7月第1周网络安全形势周报
人工智能·安全·web安全·ai·智能体
A.说学逗唱的Coke43 分钟前
【大模型专题】Claude Haiku vs Sonnet vs Opus:三款模型深度对比与选型指南(2026最新)
大数据·人工智能
梦想的旅途21 小时前
基于RPA技术的企业微信自动化接口设计思路与应用实践
人工智能·机器人·自动化·企业微信·rpa