Уязвимость в cURL/libcurl при использовании HTTP/3 и wolfSSL (CVE-2025-5025)

Пятница, 30 Мая 2025 г. 10:44 + в цитатник

Команда разработчиков curl выпустила обновление для устранения уязвимости CVE-2025-5025, оцененной как средней (Medium Severity).

Уязвимость проявляется при выполнении трех условий:

 
1. Используется TLS-библиотека wolfSSL
2. Соединение устанавливается по протоколу HTTP/3 (QUIC).
3. Включена функция безопасности certificate pinning (пиннинг публичного ключа сертификата сервера).

Проверка пиннинга не выполнялась. Это означает, что злоумышленник может провести атаку 'Атака посредника' (MITM-атака) и представить любой действительный сертификат, curl примет соединение, несмотря на несоответствие ожидаемого ключа. Это позволяет злоумышленнику перехватывать и модифицировать зашифрованный трафик.

( читать дальше... )

curl, quic, ssl, безопасность, уязвимость

https://www.linux.org.ru/news/security/17983178

<a href="https://www.liveinternet.ru/users/rss_rss_linux_org_ru/post511253474/">РЈСЏР·РІРёРјРѕСЃС‚СЊ РІ cURL/libcurl РїСЂРё РёСЃРїРѕР»СЊР·РѕРІР°РЅРёРё HTTP/3 Рё wolfSSL (CVE-2025-5025)</a><br/>

РљРѕРјР°РЅРґР° СЂР°Р·СЂР°Р±РѕС‚С‡РёРєРѕРІ curl РІС‹РїСѓСЃС‚РёР»Р° РѕР±РЅРѕРІР»РµРЅРёРµ РґР»СЏ СѓСЃС‚СЂР°РЅРµРЅРёСЏ СѓСЏР·РІРёРјРѕСЃС‚Рё CVE-2025-5025, РѕС†РµРЅРµРЅРЅРѕР№ РєР°Рє СЃСЂРµРґРЅРµР№ (Medium Severity).РЈСЏР·РІРёРјРѕСЃС‚СЊ РїСЂРѕСЏРІР»СЏРµС‚СЃСЏ РїСЂРё РІС‹РїРѕР»РЅРµРЅРёРё С‚СЂРµС… СѓСЃР»РѕРІРёР№: 1. РСЃРїРѕР»СЊР·СѓРµС‚СЃСЏ TLS-Р±РёР±Р»РёРѕС‚РµРєР° wolfSSL2. РЎРѕРµРґРёРЅРµРЅРёРµ СѓСЃС‚Р°РЅР°РІР»РёРІР°РµС‚СЃСЏ РїРѕ РїСЂРѕС‚РѕРєРѕР»Сѓ HTTP/3 (QUIC).3. Р’РєР»СЋС‡РµРЅР° С„СѓРЅРєС†РёСЏ Р±РµР·РѕРїР°СЃРЅРѕСЃС‚Рё certificate pinning (РїРёРЅРЅРёРЅРі РїСѓР±Р»РёС‡РЅРѕРіРѕ РєР»СЋС‡Р° СЃРµСЂС‚РёС„РёРєР°С‚Р° СЃРµСЂРІРµСЂР°).РџСЂРѕРІРµСЂРєР° РїРёРЅРЅРёРЅРіР° РЅРµ РІС‹РїРѕР»РЅСЏР»Р°СЃСЊ. РС‚Рѕ РѕР·РЅР°С‡Р°РµС‚, С‡С‚Рѕ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРє РјРѕР¶РµС‚ РїСЂРѕРІРµСЃС‚Рё Р°С‚Р°РєСѓ 'РђС‚Р°РєР° РїРѕСЃСЂРµРґРЅРёРєР°' (MITM-Р°С‚Р°РєР°) Рё РїСЂРµРґСЃС‚Р°РІРёС‚СЊ Р»СЋР±РѕР№ РґРµР№СЃС‚РІРёС‚РµР»СЊРЅС‹Р№ СЃРµСЂС‚РёС„РёРєР°С‚, curl РїСЂРёРјРµС‚ СЃРѕРµРґРёРЅРµРЅРёРµ, РЅРµСЃРјРѕС‚СЂСЏ РЅР° РЅРµСЃРѕРѕС‚РІРµС‚СЃС‚РІРёРµ ... <a href="https://www.liveinternet.ru/users/rss_rss_linux_org_ru/post511253474/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Комментировать

« Пред. запись — К дневнику — След. запись »

Страницы: [1] [Новые]

LiveInternetLiveInternet

-Поиск по дневнику

-Подписка по e-mail

-Постоянные читатели

-Статистика

Уязвимость в cURL/libcurl при использовании HTTP/3 и wolfSSL (CVE-2025-5025)