Дневник rss_rss_linux_org_ru
Лента друзей - Дневник - Полная версия
rss_rss_linux_org_ru (rss_rss_linux_org_ru)
Уязвимость в cURL/libcurl при использовании HTTP/3 и wolfSSL (CVE-2025-5025)
30-05-2025 10:44
к комментариям - к полной версии
- понравилось!
Проверка пиннинга не выполнялась. Это означает, что злоумышленник может провести атаку 'Атака посредника' (MITM-атака) и представить любой действительный сертификат, curl примет соединение, несмотря на несоответствие ожидаемого ключа. Это позволяет злоумышленнику перехватывать и модифицировать зашифрованный трафик.
вверх^
к полной версии
понравилось!
в evernote
Команда разработчиков curl выпустила обновление для устранения уязвимости CVE-2025-5025, оцененной как средней (Medium Severity).
Уязвимость проявляется при выполнении трех условий:
1. Используется TLS-библиотека wolfSSL
2. Соединение устанавливается по протоколу HTTP/3 (QUIC).
3. Включена функция безопасности certificate pinning (пиннинг публичного ключа сертификата сервера).
Проверка пиннинга не выполнялась. Это означает, что злоумышленник может провести атаку 'Атака посредника' (MITM-атака) и представить любой действительный сертификат, curl примет соединение, несмотря на несоответствие ожидаемого ключа. Это позволяет злоумышленнику перехватывать и модифицировать зашифрованный трафик.
( читать дальше... )
Вы сейчас не можете прокомментировать это сообщение.
Дневник Уязвимость в cURL/libcurl при использовании HTTP/3 и wolfSSL (CVE-2025-5025) | rss_rss_linux_org_ru - Linux.org.ru: Новости |
Лента друзей rss_rss_linux_org_ru
/ Полная версия
Добавить в друзья
Страницы:
раньше»