CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2024-2379

Low
Published: Translated: NVD NIST

Summary

W bibliotece libcurl występuje luka, która pomija weryfikację certyfikatu dla połączenia QUIC w określonych warunkach, gdy jest zbudowana z użyciem wolfSSL. W przypadku użycia nieznanego lub błędnego szyfru lub krzywej, ścieżka błędu przypadkowo pomija weryfikację i zwraca OK, ignorując problemy z certyfikatem.

Risk Assessment

Ignorowanie problemów z certyfikatami może prowadzić do ataków typu man-in-the-middle, co stwarza poważne zagrożenie dla bezpieczeństwa danych przesyłanych przez QUIC.

Recommendation

Zaleca się aktualizację libcurl do najnowszej wersji, która naprawia tę lukę, oraz weryfikację konfiguracji używanych szyfrów i krzywych w celu zapewnienia bezpieczeństwa połączeń.

Original NVD description (English source)

libcurl skips the certificate verification for a QUIC connection under certain conditions, when built to use wolfSSL. If told to use an unknown/bad cipher or curve, the error path accidentally skips the verification and returns OK, thus ignoring any certificate problems.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS