All errata/p11/ALT-PU-2025-7807-4
ALT-PU-2025-7807-4

Package update curl in branch p11

Version8.14.1-alt1
Task#386330
Published2026-02-04
Max severityHIGH
Severity:

Closed issues (6)

BDU:2025-10232
MEDIUM6.5

Уязвимость библиотеки libcurl, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Published: 2025-08-25Modified: 2025-09-10
CVSS 3.xMEDIUM 6.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
CVSS 2.0MEDIUM 6.4
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N
References
BDU:2025-10233
MEDIUM5.4

Уязвимость библиотеки libcurl, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Published: 2025-08-25
CVSS 3.xMEDIUM 5.4
CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
CVSS 2.0MEDIUM 6.4
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N
References
BDU:2025-10234
MEDIUM4.8

Уязвимость компонента WebSocket библиотеки libcurl, связанная с ошибками бесконечного цикла, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2025-08-25
CVSS 3.xMEDIUM 4.8
CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:L
CVSS 2.0MEDIUM 4.0
CVSS:2.0/AV:N/AC:H/Au:N/C:P/I:N/A:P
References
CVE-2025-4947
MEDIUM6.5

libcurl accidentally skips the certificate verification for QUIC connections when connecting to a host specified as an IP address in the URL. Therefore, it does not detect impostors or man-in-the-middle attacks.

Published: 2025-05-28Modified: 2025-06-26
CVSS 3.xMEDIUM 6.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
References
CVE-2025-5025
MEDIUM4.8

libcurl supports *pinning* of the server certificate public key for HTTPS transfers. Due to an omission, this check is not performed when connecting with QUIC for HTTP/3, when the TLS backend is wolfSSL. Documentation says the option works with wolfSSL, failing to specify that it does not for QUIC and HTTP/3. Since pinning makes the transfer succeed if the pin is fine, users could unwittingly connect to an impostor server without noticing.

Published: 2025-05-28Modified: 2025-07-30
CVSS 3.xMEDIUM 4.8
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
References
CVE-2025-5399
HIGH7.5

Due to a mistake in libcurl's WebSocket code, a malicious server can send a particularly crafted packet which makes libcurl get trapped in an endless busy-loop. There is no other way for the application to escape or exit this loop other than killing the thread/process. This might be used to DoS libcurl-using application.

Published: 2025-06-07Modified: 2025-07-30
CVSS 3.xHIGH 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
References