Команда разработчиков curl выпустила обновление для устранения уязвимости CVE-2025-5025, оцененной как средней (Medium Severity).
Уязвимость проявляется при выполнении трех условий:
1. Используется TLS-библиотека wolfSSL
2. Соединение устанавливается по протоколу HTTP/3 (QUIC).
3. Включена функция безопасности certificate pinning (пиннинг публичного ключа сертификата сервера).
Проверка пиннинга не выполнялась. Это означает, что злоумышленник может провести атаку 'Атака посредника' (MITM-атака) и представить любой действительный сертификат, curl примет соединение, несмотря на несоответствие ожидаемого ключа. Это позволяет злоумышленнику перехватывать и модифицировать зашифрованный трафик.
Ей подвержены системы, где:
1. Установлена уязвимая версия curl/libcurl (8.5.0 - 8.13.0).
2. cURL специально скомпилирован с поддержкой wolfSSL.
3. Приложения или скрипты активно используют HTTP/3 и certificate pinning.
Рекомендуется:
1. Обновить curl до версии до 8.14.0 или выше.
2. Не использовать wolfSSL (а использовать, например, OpenSSL) (узнать бэкенд можно командой curl -V)
3. Если вы не используете HTTP/3 или не настраиваете certificate pinning, риски минимальны.
4. Временные меры (если обновление невозможно) — избегать использования связки HTTP/3 + certificate pinning в curl, собранном с wolfSSL.
Критичность уязвимости оценивается как Средняя (Medium Severity). Ее реальное воздействие на инфраструктуру ограничено так как:
1. wolfSSL. Большинство стандартных пакетов curl в основных дистрибутивах Linux (Debian/Ubuntu, RHEL/CentOS/Fedora, openSUSE, Arch) скомпилированы с OpenSSL (или GnuTLS) по умолчанию, а не с wolfSSL. Уязвимость проявляется только при использовании wolfSSL.
2. Большинство серверов и клиентов работают на HTTP/1.1 или HTTP/2 (TCP+TLS), для которых пиннинг с wolfSSL работал корректно.
3. Специфичность использования Certificate Pinning: Certificate pinning — это мера безопасности, не включенная по умолчанию. Ее сознательно настраивают только в определенных, часто высокозащищенных сценариях. Обычные скрипты curl для скачивания файлов или API-запросов ее не используют.
4. Требуется позиция MitM: Эксплуатация требует, чтобы злоумышленник имел возможность перехватывать трафик целевой системы. Это сложно в защищенных сетях.
5. Злоумышленнику нужен сертификат, который клиент сочтет доверенным, что обычно требует компрометации CA или иной атаки на инфраструктуру PKI.
Кто может быть уязвим:
1. Пользовательские системы или серверы, на которых специально собран curl/libcurl с поддержкой wolfSSL (например, для встраиваемых систем, IoT, или из-за лицензионных предпочтений).
2. Приложения, использующие эту специальную сборку libcurl с wolfSSL, устанавливающие соединения по HTTP/3 и явно настроившие certificate pinning.
3. Пользователи нишевых дистрибутивов или специализированных встраиваемых платформ, где wolfSSL выбран в качестве TLS-бэкенда по умолчанию.
Рекомендации для администрирующих ОС Linux:
1. Уязвимость очень специфична и не касается стандартных конфигураций.
2. Проверить бэкенд: Выполнить curl -V | grep -i ssl. Если видите OpenSSL, GnuTLS, NSS и т.д. (но не wolfSSL), уязвимость вас не касается.
3. Обновите пакет curl до последней доступной версии в вашем дистрибутиве.
CVE-2025-5025 — это специфичная и ограниченная уязвимость средней степени серьезности. Ее реальное влияние на типичную инфраструктуру крайне невелико из-за редкости использования wolfSSL в стандартных дистрибутивах.
На данный день разработчикам cURL не известно о действительном эксплойте на данную уязвимость. Также стоит отметить, что уязвимость касается именно утилиты cURL, а не библиотеки WolfSSL.
>>> CVE-2025-5025
