Curl opravuje 1 zranitelnost

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Curl opravuje 1 zranitelnost

Curl verzí 8.14.1 opravuje zranitelnost v knihovně libcurl [1].

Libcurl - DoS (CVE-2025-5399)

Neautentizovanému vzdálenému útočníkovi je kvůli chybné implementaci WebSocket v knihovně libcurl umožněno zasíláním speciálně vytvořených paketů vyvolat stav nekonečné smyčky a potenciálně tak vykonat útok DoS na závislé aplikace [1]. Systém není zranitelný, je-li deaktivována funkce automatické odpovědi pomocí volby 'CURLWS_NOAUTOPONG'. Nástroj curl touto zranitelností ovlivněn není.

Zranitelnost se nachází v produktu curl ve verzích >=8.13.0 AND <=8.14.0.

Více informací:

CVE-2025-5399 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-835: Loop with Unreachable Exit Condition ('Infinite Loop') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 4. 6. 2025.

Odkazy

[1] https://www.openwall.com/lists/oss-security/2025/06/04/2

Za CESNET-CERTS Michaela Ručková dne 4. 6. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] Curl opravuje 1 zranitelnost

Libcurl - DoS (CVE-2025-5399)

Odkazy