CVE-2024-2379
NiskieStreszczenie
W bibliotece libcurl występuje luka, która pomija weryfikację certyfikatu dla połączenia QUIC w określonych warunkach, gdy jest zbudowana z użyciem wolfSSL. W przypadku użycia nieznanego lub błędnego szyfru lub krzywej, ścieżka błędu przypadkowo pomija weryfikację i zwraca OK, ignorując problemy z certyfikatem.
Ocena ryzyka
Ignorowanie problemów z certyfikatami może prowadzić do ataków typu man-in-the-middle, co stwarza poważne zagrożenie dla bezpieczeństwa danych przesyłanych przez QUIC.
Rekomendacja
Zaleca się aktualizację libcurl do najnowszej wersji, która naprawia tę lukę, oraz weryfikację konfiguracji używanych szyfrów i krzywych w celu zapewnienia bezpieczeństwa połączeń.
Oryginalny opis (angielski, źródło NVD)
libcurl skips the certificate verification for a QUIC connection under certain conditions, when built to use wolfSSL. If told to use an unknown/bad cipher or curve, the error path accidentally skips the verification and returns OK, thus ignoring any certificate problems.

