发布日期：2007-04-15
更新日期：2007-09-27

受影响系统：

ELinks ELinks 0.11.2
ELinks ELinks 0.11.1
ELinks ELinks 0.10.6
ELinks ELinks 0.10.4

不受影响系统：

ELinks ELinks 0.11.3

描述：

---

BUGTRAQ  ID: 25799
CVE(CAN) ID: CVE-2007-5034

ELinks是一款开放源码的WEB浏览器。

ELinks实现现HTTPS POST请求的方式存在漏洞，可能导致敏感信息泄露。

如果ELinks向HTTPS URL发送POST请求，且为HTTPS定义了代理，ELinks就会将POST请求的消息体和Content-*头以明文添加到CONNECT请求中，因此代理就可以嗅探到本应受到TLS保护的所有数据。

<*来源：Kalle Olavi Niemitalo
  
  链接：http://bugzilla.elinks.cz/long_list.cgi?buglist=937
        http://secunia.com/advisories/26956/
*>

建议：

---

厂商补丁：

ELinks
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://elinks.or.cz/download/elinks-0.11.3.tar.bz2

浏览次数：2654
严重程度：0（网友投票）