Ключевое слово в защите информации
ключевое слово
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Криптопро CSP 5.0 и curl - Узявимости curl в составе дистрибутива CSP
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Irkin_S  
#1 Оставлено : 22 февраля 2026 г. 17:52:12(UTC)
Irkin_S

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.10.2025(UTC)
Сообщений: 1
Российская Федерация
В состав дистрибутива КриптоПро CSP 5.0 для Astra Linux (как и для всех других ОС) входит пакет cprocsp-curl
В версии CSP 5.0.1300 это модифицированная версия curl 7.65.3
Согласно Банка данных угроз безопасности информации ФСТЭК все версии curl вплоть до версии 8.XX содержат значительные уязвимости (например CVE-2025-0725)
Есть ли какие-то инструкции, рекомендации по методике обновления cprocsp-curl в составе CSP 5.0?
Вверх
Offline Русев Андрей  
#2 Оставлено : 24 февраля 2026 г. 11:33:47(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,636

Сказал(а) «Спасибо»: 49 раз
Поблагодарили: 699 раз в 482 постах
Здравствуйте. Для эксплуатации уязвимостей необходимо соблюдение условий их возникновения. Например, использование специфического протокола (SSH, TELNET, FTP), неисправленных сторонних библиотек (zlib) или особого способа curl API (задания в одной части приложения уязвимого набора шифр сьют с помощью CURLOPT_SSL_CIPHER_LIST, а в другой – стойкого). Такие условия зачастую не возникают в информационных системах, где используются приложения прошедшие оценку влияния. Например, указанная вами CVE-2025-0725 требует zlib 1.2.0.3 или более старую, которую можно встретить только в ОС 20-летней давности. В 2025-08-27 КриптоПро CSP 5.0.13003 Titan+ часть проблем устранена. В 2025-02-28 КриптоПро CSP 5.0.13455 Valkyrie curl обновлён до версии 8.11.1. В 2025-12-30 КриптоПро CSP 5.0.13700 Xana curl обновлён до версии 8.16.0.

Отредактировано пользователем 24 февраля 2026 г. 14:10:34(UTC)  | Причина: Не указана

Официальная техподдержка. Официальная база знаний.
Вверх
Offline Русев Андрей  
#3 Оставлено : 30 апреля 2026 г. 9:15:47(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,636

Сказал(а) «Спасибо»: 49 раз
Поблагодарили: 699 раз в 482 постах
В 2026-04-10 КриптоПро CSP 5.0.13800 Yarilo
Цитата:
  • curl: Обновлён до версии 8.19.0 (CPCSP-15759).
    • Официальная техподдержка. Официальная база знаний.
    Вверх
    RSS Лента  Atom Лента
    Пользователи, просматривающие эту тему
    Guest
    Быстрый переход  
    Вы не можете создавать новые темы в этом форуме.
    Вы не можете отвечать в этом форуме.
    Вы не можете удалять Ваши сообщения в этом форуме.
    Вы не можете редактировать Ваши сообщения в этом форуме.
    Вы не можете создавать опросы в этом форуме.
    Вы не можете голосовать в этом форуме.

    Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2026, Yet Another Forum.NET