Аудит безопасности cURL выявил несколько уязвимостей

Олег Иванов 28 Ноября 2016 - 17:58

...

Аудит безопасности cURL выявил несколько уязвимостей

Последняя версия обновлений cURL исправляет почти десяток уязвимостей, более половины из которых были обнаружены в результате аудита, проведенного недавно экспертами в области безопасности.

cURL – утилита командной строки с открытым исходным кодом, предназначенная для передачи данных. cURL используется тысячами программных приложений, включая сетевые устройства, принтеры, медиа-оборудования, телефоны, планшетные компьютеры, телевизоры и даже автомобили.

Дэниел Стенберг (Daniel Stenberg), ведущий разработчик cURL и сотрудник Mozilla, запросил аудит безопасности у программы Mozilla Secure Open Source (SOS). Аудит проводился в течение 20 дней в августе и сентябре пятью тестерами из Германии.

В общей сложности аудит выявил 23 проблемы, включая 9 брешей в безопасности. Далее результаты анализировались разработчиками cURL, которые объединили две уязвимости в одну, а другую пометили как «несущественный баг», так как в этом случае речь идет о весьма сложном сценарии атаки.

Из девяти уязвимостей, подробно описанных в докладе Cure53, 4 были расценены как уязвимости высокой степени риска и еще 4 как уязвимости средней степени. Бреши высокой степени риска позволяют удаленно выполнить код и идут под идентификаторами CVE-2016-8617, CVE-2016-8619, CVE-2016-8622 и CVE-2016-8623.

Несмотря на значительное число недостатков, Cure53 пришли к выводу, что «общее впечатление о состоянии безопасности и надежности библиотеки cURL довольно положительное».

Последняя версия cURL 7.51.0 исправляет в общей сложности 11 уязвимостей. Стенберг отметил, что это рекорд выявленных уязвимостей в рамках одного аудита, до этого наибольшее количество уязвимостей, зафиксированных в одном выпуске, было четыре.

Следующая главная новость »

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Июня 2026 - 11:27

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Операторы предупредили россиян о проблемах с зарубежным трафиком с сентября

Уже в сентябре российские пользователи могут заметить первые изменения в работе зарубежного интернета. Такой прогноз озвучили представители отрасли на Night Telecom Forum в Санкт-Петербурге. Причина — введённый весной согласительный порядок на расширение зарубежных каналов связи.

С марта 2026 года операторы должны получать разрешение Минцифры, если хотят увеличить пропускную способность международных линий. По словам участников рынка, критерии согласования до сих пор не опубликованы.

В «Транстелекоме» считают, что летом проблема почти незаметна из-за сезонного снижения трафика. Однако уже к осени нагрузка традиционно начинает расти. Если операторам не разрешат расширять каналы, свободная ёмкость может быстро закончиться.

В таком случае провайдерам придётся выбирать, чей трафик пропускать в первую очередь. Среди возможных сценариев называют отказ от менее прибыльных клиентов, перераспределение полосы пропускания и даже появление отдельных тарифов для российского и зарубежного интернета.

Похожий прогноз озвучили и в Piter-IX. По мнению представителей точки обмена трафиком, ограничения могут привести к появлению дифференцированных тарифов, где доступ к иностранным сервисам станет отдельной платной опцией.

Особое внимание участники рынка уделяют VPN. Поскольку такой трафик проходит через зарубежные каналы, операторы могут начать активнее ограничивать его либо техническими средствами, либо экономически, повышая стоимость доступа к международным ресурсам.

По данным СМИ, ещё весной около двадцати операторов договорились не расширять зарубежные каналы связи без согласования с Минцифры. Среди участников обсуждения назывались ТТК, МТС, «Билайн», Т2, «Уфанет» и другие компании.

При этом окончательных правил игры пока нет. Источники в отрасли отмечают, что у Минцифры ещё отсутствуют прямые полномочия вводить подобные согласования, поэтому механизм может потребовать изменений в законодательстве. Пока же речь идёт о прогнозах участников рынка и обсуждаемой модели регулирования, а не о вступивших в силу новых тарифах или ограничениях.

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!