Аудит безопасности cURL выявил несколько уязвимостей

Аудит безопасности cURL выявил несколько уязвимостей

Аудит безопасности cURL выявил несколько уязвимостей

Последняя версия обновлений cURL исправляет почти десяток уязвимостей, более половины из которых были обнаружены в результате аудита, проведенного недавно экспертами в области безопасности.

cURL – утилита командной строки с открытым исходным кодом, предназначенная для передачи данных. cURL используется тысячами программных приложений, включая сетевые устройства, принтеры, медиа-оборудования, телефоны, планшетные компьютеры, телевизоры и даже автомобили.

Дэниел Стенберг (Daniel Stenberg), ведущий разработчик cURL и сотрудник Mozilla, запросил аудит безопасности у программы Mozilla Secure Open Source (SOS). Аудит проводился в течение 20 дней в августе и сентябре пятью тестерами из Германии.

В общей сложности аудит выявил 23 проблемы, включая 9 брешей в безопасности. Далее результаты анализировались разработчиками cURL, которые объединили две уязвимости в одну, а другую пометили как «несущественный баг», так как в этом случае речь идет о весьма сложном сценарии атаки.

Из девяти уязвимостей, подробно описанных в докладе Cure53, 4 были расценены как уязвимости высокой степени риска и еще 4 как уязвимости средней степени. Бреши высокой степени риска позволяют удаленно выполнить код и идут под идентификаторами CVE-2016-8617, CVE-2016-8619, CVE-2016-8622 и CVE-2016-8623.

Несмотря на значительное число недостатков, Cure53 пришли к выводу, что «общее впечатление о состоянии безопасности и надежности библиотеки cURL довольно положительное».

Последняя версия cURL 7.51.0 исправляет в общей сложности 11 уязвимостей. Стенберг отметил, что это рекорд выявленных уязвимостей в рамках одного аудита, до этого наибольшее количество уязвимостей, зафиксированных в одном выпуске, было четыре.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ИИ-инструменты могут получить статус соавтора в разработке ядра Linux

Разработчик из Nvidia Саша Левин предложил патч-серию, которая может сделать ИИ-ассистентов вроде Copilot, Claude или Cursor полноценной частью процесса разработки Linux-ядра — но по строго заданным правилам.

Во-первых, патч добавляет конфигурационные заготовки (stubs) для популярных ИИ-инструментов: GitHub Copilot, Claude, Codeium, Cursor, Continue, Windsurf, Aider и других. Все они будут ссылаться на единый файл с документацией — чтобы было ясно, как именно такие помощники могут быть задействованы.

Во-вторых — и это важнее — вводятся официальные правила, по которым в ядре можно использовать ИИ при написании кода. Главное требование: если ИИ что-то помог написать, в коммите нужно указывать это явно — с помощью строки Co-developed-by:. Пример:

Co-developed-by: Claude <claude-opus-4-20250514> 

А вот Signed-off-by: использовать для ИИ нельзя. Эта строка юридически означает следующее: человек подтверждает, что имеет право внести изменение и соблюдает лицензии — и такую ответственность может нести только живой разработчик.

В примере, приведённом в патче, Claude помог поправить опечатку в документации по OPP: вместо "dont" стало "don't". Вроде мелочь, но теперь с правильной атрибуцией.

Левин также предлагает создать новый раздел Documentation/AI/ в кодовой базе ядра. Там — чёткие инструкции:

  • Следовать стандартам кодирования Linux.
  • Уважать существующий процесс разработки.
  • Понимать лицензионные требования.

Отдельно подчёркивается: у ИИ бывают проблемы с пониманием этих аспектов, поэтому человеческий контроль обязателен.

Очевидно, ИИ-инструменты всё активнее используются даже в таких серьёзных проектах, как Linux-ядро. Патч Левина — попытка легализовать и структурировать этот процесс, не жертвуя качеством и юридической чистотой.

Так что, если вы уже тайком пользовались Copilot для фиксов в ядре, — теперь будет шанс делать это открыто, но по правилам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru