Ja es troba disponible la nova versió d'actualització di "cURL 7.71.0", en la qual es van centrar en la solució de dos errors greus que permeten l'accés contrasenyes i també el poder sobreescriure arxius. És per això que es fa la invitació a realitzar l'actualització a la nova versió.
Per als qui desconeixen de aquesta utilitat, han de saber que serveix per rebre i enviar dades a través de la xarxa, brinda la capacitat de formar una sol·licitud de manera flexible mitjançant l'establiment de paràmetres com galeta, user_agent, referer i qualsevol altre capçalera.
cURL admet HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP i altres protocols de xarxa. A el mateix temps, es va llançar una actualització en paral·lel a la biblioteca libcurl, que proporciona una API per utilitzar totes les funcions d'curl en programes en llenguatges com C, Perl, PHP, Python.
Principals canvis en cURL 7.71.0
Aquesta nova versió, és d'actualització i com s'esmenta a l'inici arriba per solucionar dos errors, els quals són els següents:
- Vulnerabilitat CVE-2020-8177: Aquesta li permet a un atacant el poder sobreescriure un arxiu local en el sistema quan accedeix a un servidor d'atac controlat. El problema es manifesta només quan es fan servir les opcions «-J» ( «-remote-header-name») i «-i» ( «-head») simultàniament.
L'opció «-J» li permet guardar l'arxiu amb el nom especificat a la capçalera «Content-Disposition». Si ja existeix un fitxer amb el mateix nom, El programa curl normalment es nega a sobreescriure, Però si l'opció «-I» és present, es viola la lògica de verificació i es sobreescriu l'arxiu (la verificació es realitza en l'etapa de recepció de el cos de resposta, però amb l'opció «-i» les capçaleres HTTP surten primer i tenen temps de persistir abans de processar el cos de la resposta). Només les capçaleres HTTP s'escriuen a l'arxiu.
- La vulnerabilitat CVE-2020-8169: aquesta podria provocar una fuita al servidor DNS d'algunes contrasenyes per accedir a el lloc (Basic, Digest, NTLM, etc.).
Quan s'usa el caràcter «@» en una contrasenya, que també es fa servir com a delimitador contrasenya a la URL, quan s'activa una redirecció HTTP, curl enviarà una part de la contrasenya després de l'caràcter «@» juntament amb el domini per determinar el nom.
Per exemple, si especifiqueu la contrasenya «passw @ passw» i el nom d'usuari «user», curl generarà l'URL «https: // user: passw @ passw @ example.com / path» en lloc de «https: user: passw% 40passw@example.com/path »i envieu una sol·licitud per resoldre el host» pasww@example.com «en lloc de« example.com «.
El problema es manifesta a l'habilitar el suport per redireccionadores HTTP relatius (es desactiven mitjançant CURLOPT_FOLLOWLOCATION).
En el cas d'utilitzar DNS tradicional, el proveïdor de DNS i l'atacant poden trobar informació sobre una part de la contrasenya, Que pot interceptar el trànsit de la xarxa de trànsit (fins i tot si la sol·licitud original es va realitzar a través d'HTTPS, ja que el tràfic de DNS no està xifrat). Quan s'utilitza DNS sobre HTTPS (DOH), la fugida es limita a la declaració Doh.
Finalment un altre dels canvis que s'integra en la nova versió, és l'addicio de l'opció «-retry-all-errors» per intents repetits de realitzar operacions quan es produeix algun error.
Com instal.lar cURL a Linux?
Per als que estiguin interessats en poder instal·lar aquesta nova versió de cURL podran fer-ho descarregat el codi font i realitzant la compilació.
Per això el primer que farem és descàrrega l'últim paquet de cURL amb ajuda d'una terminal, en ella anem a teclejar:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Després, anem a descomprimir el paquet descarregat amb:
tar -xzvf curl-7.71.0.tar.xz
Entrem a la carpeta acabada de crear amb:
cd curl-7.71.0
Entrem com a root amb:
sudo su
I teclegem el següent:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Finalment podrem comprovar la versió amb:
curl --version
Si vols conèixer més a l'respecte, pots consultar el següent enllaç.