Все бюллетени/p11/ALT-PU-2025-2425-3
ALT-PU-2025-2425-3

Обновление пакета curl в ветке p11

Версия8.12.0-alt1
Задание#373229
Опубликовано2026-02-04
Макс. серьёзностьCRITICAL
Серьёзность:

Закрытые проблемы (6)

BDU:2025-01585
HIGH7.3

Уязвимость функции gzip_do_write() библиотеки сжатия zlib утилиты командной строки cURL, позволяющая нарушителю обойти механизм защиты ASLR, выполнить произвольный код или вызвать отказ в обслуживании

Опубликовано: 2025-04-10Изменено: 2025-09-22
CVSS 3.xВЫСОКАЯ 7.3
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
CVSS 2.0ВЫСОКАЯ 7.5
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P
Ссылки
BDU:2025-02320
CRITICAL9.8

Уязвимость файловым дескриптором eventfd библиотеки libcurl, позволяющая нарушителю выполнить произвольный код или раскрыть защищаемую информацию

Опубликовано: 2025-03-05Изменено: 2026-03-18
CVSS 3.xКРИТИЧЕСКАЯ 9.8
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 10.0
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C
Ссылки
BDU:2025-05209
LOW3.4

Уязвимость программного средства для взаимодействия с серверами cURL, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-05-05Изменено: 2026-03-04
CVSS 3.xНИЗКАЯ 3.4
CVSS:3.x/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N
CVSS 2.0НИЗКАЯ 2.6
CVSS:2.0/AV:N/AC:H/Au:N/C:P/I:N/A:N
Ссылки
CVE-2025-0167
LOW3.4

When asked to use a `.netrc` file for credentials **and** to follow HTTP redirects, curl could leak the password used for the first host to the followed-to host under certain circumstances. This flaw only manifests itself if the netrc file has a `default` entry that omits both login and password. A rare circumstance.

Опубликовано: 2025-02-05Изменено: 2025-07-30
CVSS 3.xНИЗКАЯ 3.4
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N
Ссылки
CVE-2025-0665
HIGH7.0

libcurl would wrongly close the same eventfd file descriptor twice when taking down a connection channel after having completed a threaded name resolve.

Опубликовано: 2025-02-05Изменено: 2026-03-17
CVSS 3.xВЫСОКАЯ 7.0
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H
Ссылки
CVE-2025-0725
HIGH7.3

When libcurl is asked to perform automatic gzip decompression of content-encoded HTTP responses with the `CURLOPT_ACCEPT_ENCODING` option, **using zlib 1.2.0.3 or older**, an attacker-controlled integer overflow would make libcurl perform a buffer overflow.

Опубликовано: 2025-02-05Изменено: 2025-06-27
CVSS 3.xВЫСОКАЯ 7.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Ссылки