CVE-2024-2379
LowSummary
W bibliotece libcurl występuje luka, która pomija weryfikację certyfikatu dla połączenia QUIC w określonych warunkach, gdy jest zbudowana z użyciem wolfSSL. W przypadku użycia nieznanego lub błędnego szyfru lub krzywej, ścieżka błędu przypadkowo pomija weryfikację i zwraca OK, ignorując problemy z certyfikatem.
Risk Assessment
Ignorowanie problemów z certyfikatami może prowadzić do ataków typu man-in-the-middle, co stwarza poważne zagrożenie dla bezpieczeństwa danych przesyłanych przez QUIC.
Recommendation
Zaleca się aktualizację libcurl do najnowszej wersji, która naprawia tę lukę, oraz weryfikację konfiguracji używanych szyfrów i krzywych w celu zapewnienia bezpieczeństwa połączeń.
Original NVD description (English source)
libcurl skips the certificate verification for a QUIC connection under certain conditions, when built to use wolfSSL. If told to use an unknown/bad cipher or curve, the error path accidentally skips the verification and returns OK, thus ignoring any certificate problems.

