Curl випускає оновлення для усунення уразливості CVE-2025-5025

Команда розробників curl випустила оновлення для усунення уразливості CVE-2025-5025, оціненої як середньої важкості (Medium Severity).

Уразливість проявляється при виконанні трьох умов:

1. Використовується TLS-бібліотека wolfSSL
2. З’єднання встановлюється за протоколом HTTP/3 (QUIC)
3. Увімкнена функція безпеки certificate pinning (пінінг публічного ключа сертифіката сервера)

Перевірка пінінгу не виконувалася. Це означає, що зловмисник може провести атаку “Атака посередника” (MITM-атака) і представити будь-який дійсний сертифікат, curl прийме з’єднання, попри невідповідність очікуваного ключа. Це дозволяє зловмиснику перехоплювати та модифікувати зашифрований трафік.

Які системи вразливі до CVE-2025-5025

Уразливості піддаються системи, де:

1. Встановлена вразлива версія curl/libcurl (8.5.0 – 8.13.0)
2. cURL спеціально скомпільований з підтримкою wolfSSL
3. Додатки або скрипти активно використовують HTTP/3 і certificate pinning

Рекомендації щодо усунення уразливості

Рекомендується:

1. Оновити curl до версії 8.14.0 або вище
2. Не використовувати wolfSSL (а використовувати, наприклад, OpenSSL) (дізнатися бекенд можна командою curl -V)
3. Якщо ви не використовуєте HTTP/3 або не налаштовуєте certificate pinning, ризики мінімальні
4. Тимчасові заходи (якщо оновлення неможливе) – уникати використання зв’язки HTTP/3 + certificate pinning в curl, зібраному з wolfSSL

Чому критичність уразливості оцінюється як середня

Критичність уразливості оцінюється як Середня (Medium Severity). Її реальний вплив на інфраструктуру обмежений, оскільки:

1. wolfSSL. Більшість стандартних пакетів curl в основних дистрибутивах Linux (Debian/Ubuntu, RHEL/CentOS/Fedora, openSUSE, Arch) скомпільовані з OpenSSL (або GnuTLS) за замовчуванням, а не з wolfSSL. Уразливість проявляється тільки при використанні wolfSSL.

2. Більшість серверів і клієнтів працюють на HTTP/1.1 або HTTP/2 (TCP+TLS), для яких пінінг з wolfSSL працював коректно.

3. Специфічність використання Certificate Pinning: Certificate pinning — це захід безпеки, не включений за замовчуванням. Його свідомо налаштовують тільки в певних, часто високозахищених сценаріях. Звичайні скрипти curl для завантаження файлів або API-запитів його не використовують.

4. Потрібна MitM позиція: Експлуатація вимагає, щоб зловмисник мав можливість перехоплювати трафік цільової системи. Це складно в захищених мережах.

5. Зловмиснику потрібен сертифікат, який клієнт визнає довіреним, що зазвичай вимагає компрометації CA або іншої атаки на інфраструктуру PKI.

Хто може бути вразливим

1. Користувацькі системи або сервери, на яких спеціально зібрано curl/libcurl з підтримкою wolfSSL (наприклад, для вбудованих систем, IoT, або через ліцензійні переваги).

2. Додатки, що використовують цю спеціальну збірку libcurl з wolfSSL, встановлюють з’єднання за HTTP/3 і явно налаштували certificate pinning.

3. Користувачі нішевих дистрибутивів або спеціалізованих вбудованих платформ, де wolfSSL вибрано як TLS-бекенд за замовчуванням.

Рекомендації для адміністраторів ОС Linux

1. Уразливість дуже специфічна і не стосується стандартних конфігурацій.

2. Перевірити бекенд: Виконати команду curl -V | grep -i ssl. Якщо бачите OpenSSL, GnuTLS, NSS тощо (але не wolfSSL), уразливість вас не стосується.

3. Оновіть пакет curl до останньої доступної версії у вашому дистрибутиві.

CVE-2025-5025 — це специфічна і обмежена уразливість середнього ступеня серйозності. Її реальний вплив на типову інфраструктуру надзвичайно малий через рідкість використання wolfSSL у стандартних дистрибутивах.

На цей день розробникам cURL не відомо про дійсний експлойт на дану уразливість. Також варто зазначити, що уразливість стосується саме утиліти cURL, а не бібліотеки WolfSSL.

Більше інформації можна знайти на офіційному сайті curl та сторінці, присвяченій CVE-2025-5025.