Налично сега новата версия на актуализацията dи „cURL 7.71.0“, в който те се фокусираха върху решаването на две сериозни грешки които позволяват пароли за достъп, а също и възможност за презаписване на файлове. Ето защо се отправя поканата за надграждане до новата версия.
За тези, които не знаят тази програма, те трябва да знаят това служи за получаване и изпращане на данни по мрежата, Предоставя възможност за гъвкаво формиране на заявка чрез задаване на параметри като бисквитка, user_agent, препоръчал и всяка друга заглавка.
къдрица поддържа HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP и други мрежови протоколи. В същото време беше пусната паралелна актуализация на библиотеката libcurl, която предоставя API за използване на всички функции на curl в програми на езици като C, Perl, PHP, Python.
Основни промени в cURL 7.71.0
Тази нова версия е актуализация и както беше споменато в началото, тя идва да реши две грешки, които са следните:
- Уязвимост CVE-2020-8177- Това позволява на нападателя да презапише локален файл в системата при достъп до контролиран сървър за атака. Проблемът се проявява само когато опциите "-J" ("-remote-header-name") и "-i" ("–head") се използват едновременно.
Опцията "-J" ви позволява да запишете файла с посоченото име в заглавката „Content-Disposition“. Свече съществувам файл със същото име, програмата curl обикновено отказва да презапише, но ако опцията „-I“ присъства, логиката за проверка е нарушена и презаписана файла (проверката се извършва на етапа на приемане на тялото на отговора, но с опцията "-i" HTTP хедърите излизат първи и имат време да продължат, преди да обработят тялото на отговора). Във файла се записват само HTTP заглавки.
- Уязвимостта на CVE-2020-8169: това може да доведе до изтичане в DNS сървъра на някои пароли за достъп до сайта (Basic, Digest, NTLM и др.).
Когато използвате символа "@" в парола, който се използва и като ограничител на паролата в URL адреса, когато се задейства HTTP пренасочване, curl ще изпрати част от паролата след символа "@" заедно с домейна, за да определи име.
Например, ако посочите паролата „passw @ passw“ и потребителското име „потребител“, curl ще генерира URL адреса „https: // user: passw @ passw @ example.com / path“ вместо „https: user: passw % 40passw@example.com/path "и изпратете заявка за разрешаване на хоста" pasww@example.com "вместо" example.com ".
Проблемът се проявява при активиране на поддръжка за HTTP редиректори Относително (деактивирано чрез CURLOPT_FOLLOWLOCATION).
В случай на използване на традиционния DNS, доставчикът на DNS и нападателят могат да намерят информация за част от паролата, които могат да прихващат транзитен мрежов трафик (дори ако първоначалната заявка е направена през HTTPS, тъй като DNS трафикът не е криптиран). Когато се използва DNS през HTTPS (DoH), изтичането е ограничено до DoH оператора.
И накрая, друга от промените, които са интегрирани в новата версия, е добавянето на опцията „–повторен опит за всички грешки“ за многократни опити за извършване на операции, когато възникне грешка.
Как да инсталирам cURL на Linux?
За тези, които се интересуват от възможността да инсталират тази нова версия на cURL Те могат да го направят, като изтеглят изходния код и го компилират.
За да направите това, първото нещо, което ще направим, е да изтеглим най-новия пакет cURL с помощта на терминал, в него нека напишем:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
След това ще разархивираме изтегления пакет с:
tar -xzvf curl-7.71.0.tar.xz
Влизаме в новосъздадената папка с:
cd curl-7.71.0
Въвеждаме като корен с:
sudo su
И въвеждаме следното:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Накрая можем да проверим версията с:
curl --version
Ако искате да научите повече за това, можете да се консултирате следната връзка.