Neautentizovanému vzdálenému útočníkovi je umožněno zneužít chybu v implementaci curl, která nesprávně ověřuje stav certifikátu serveru při použití rozšíření TLS Certificate Status Request (OCSP stapling). Pokud OCSP vrátí stav jiný než „revoked“ (například „unauthorized“), curl tento stav nesprávně považuje za platný, což umožňuje útočníkovi použít neplatný nebo nedůvěryhodný certifikát. Tento problém se vyskytuje pouze v případě, že je curl sestaven tak, aby používal knihovnu GnuTLS [1].

Zranitelnost se nachází v produktu curl ve verzích >=7.41.0 AND <=8.9.1.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Více informací:

• CVE-2024-8096 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-295: Improper Certificate Validation at cwe.mitre.org

Zranitelnost byla veřejně oznámena 11. 9. 2024.