Katalog CVE

CVE-2024-2379

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W bibliotece libcurl występuje luka, która pomija weryfikację certyfikatu dla połączenia QUIC w określonych warunkach, gdy jest zbudowana z użyciem wolfSSL. W przypadku użycia nieznanego lub błędnego szyfru lub krzywej, ścieżka błędu przypadkowo pomija weryfikację i zwraca OK, ignorując problemy z certyfikatem.

Ocena ryzyka

Ignorowanie problemów z certyfikatami może prowadzić do ataków typu man-in-the-middle, co stwarza poważne zagrożenie dla bezpieczeństwa danych przesyłanych przez QUIC.

Rekomendacja

Zaleca się aktualizację libcurl do najnowszej wersji, która naprawia tę lukę, oraz weryfikację konfiguracji używanych szyfrów i krzywych w celu zapewnienia bezpieczeństwa połączeń.

Oryginalny opis (angielski, źródło NVD)

libcurl skips the certificate verification for a QUIC connection under certain conditions, when built to use wolfSSL. If told to use an unknown/bad cipher or curve, the error path accidentally skips the verification and returns OK, thus ignoring any certificate problems.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS