cURL sérülékenységek


2016. augusztus 5. 06:25

CH azonosító

CH-13466

Angol cím

cURL vulnerabilities

Felfedezés dátuma

2016.08.02.

Súlyosság

Közepes

Érintett rendszerek

Haxx
cURL

Érintett verziók

cURL
libcurl

Összefoglaló

A cURL közepes kockázati besorolású sérülékenységei váltak ismertté, amelyeket kihasználva a támadónak biztonsági megkötések megkerülésére és adatmanipulációra nyílhat lehetősége. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A cURL és a libcurl TLS-kezeléssel összefüggő hibákat tartalmaz.

Az egyik biztonsági rést az okozza, hogy az érintett összetevő akkor is folytatja a TLS munkameneteket, miután a kliens tanúsítványa megváltozott. Emiatt egyes alkalmazások érvénytelen hitelesítéssel is képesek lehetnek műveletek végrehajtására, illetve adatok küldésére.

A másik sérülékenység miatt pedig a TLS kapcsolatok újrafelhasználása történhet meg abban az esetben is, ha a kliens tanúsítványa már érvénytelen.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Gyártói referencia: curl.haxx.se
Gyártói referencia: curl.haxx.se
CVE-2016-5419 - NVD CVE-2016-5419
CVE-2016-5420 - NVD CVE-2016-5420

Legfrissebb sérülékenységek
CVE-2025-64471 – Fortinet FortiWeb sérülékenysége
CVE-2025-59808 – Fortinet FortiSOAR sérülékenysége
CVE-2025-59719 – Fortinet FortiWeb sérülékenysége
CVE-2025-59718 – Fortinet sérülékenysége
CVE-2025-10573 – Ivanti EPM XSS sérülékenysége
CVE-2025-54100 – PowerShell Remote Code Execution sérülékenység
CVE-2025-64671 – GitHub Copilot for Jetbrains Remote Code Execution sérülékenység
CVE-2025-62221 – Microsoft Windows Use After Free sérülékenység
CVE-2025-55754 – Apache Tomcat sérülékenysége
CVE-2025-42880 – SAP Solution Manager Code Injection sérülékenység
Tovább a sérülékenységekhez »