Nu tilgængelig den nye opdateringsversion dog “cURL 7.71.0”, hvor de fokuserede på at løse to alvorlige fejl der tillader adgangskoder og også muligheden for at overskrive filer. Derfor er invitationen til at opgradere til den nye version lavet.
For dem der ikke er opmærksomme på dette værktøj, de burde vide det tjener til at modtage og sende data over netværket, Giver mulighed for fleksibelt at danne en anmodning ved at indstille parametre som cookie, user_agent, referer og enhver anden header.
cURL understøtter HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP og andre netværksprotokoller. På samme tid blev der frigivet en parallelopdatering til libcurl-biblioteket, som giver en API til at bruge alle curl-funktioner i programmer på sprog som C, Perl, PHP, Python.
Vigtigste ændringer i cURL 7.71.0
Denne nye version er en opdatering, og som nævnt i starten kommer det til at løse to fejl, som er følgende:
- Sårbarhed CVE-2020-8177- Dette giver en hacker mulighed for at overskrive en lokal fil på systemet, når han får adgang til en kontrolleret angrebsserver. Problemet manifesterer sig kun, når valgmulighederne "-J" ("–fjernbetegnelsesnavn") og "-i" ("–hoved") bruges samtidigt.
Valget "-J" giver dig mulighed for at gemme filen med det angivne navn i overskriften "Content-Disposition". SJeg eksisterer allerede en fil med samme navn, programmet krølle nægter normalt at overskrive, men hvis muligheden "-I" er til stede, verifikationslogik overtrædes og overskrives filen (verifikation udføres på modtagelsestidspunktet for reaktionskroppen, men med indstillingen "-i" går HTTP-overskrifterne først ud og har tid til at fortsætte, inden svarkroppen behandles). Kun HTTP-overskrifter er skrevet til filen.
- CVE-2020-8169-sårbarheden: dette kan forårsage lækage i DNS-serveren af nogle adgangskoder for at få adgang til webstedet (Basic, Digest, NTLM osv.).
Når du bruger "@" -tegnet i en adgangskode, som også bruges som en adgangskodeafgrænser i URL'en, når en HTTP-omdirigering udløses, sender curl en del af adgangskoden efter "@" -tegnet sammen med domænet for at bestemme navn.
Hvis du f.eks. Angiver adgangskoden "passw @ passw" og brugernavnet "user", vil curl generere URL'en "https: // user: passw @ passw @ example.com / path" i stedet for "https: user: passw % 40passw@example.com/path "og send en anmodning om at løse værten" pasww@example.com "i stedet for" example.com ".
Problemet manifesterer sig, når der aktiveres understøttelse af HTTP-omdirigeringer Relativ (deaktiveret via CURLOPT_FOLLOWLOCATION).
I tilfælde af brug af traditionel DNS, DNS-udbyderen og angriberen kan finde oplysninger om en del af adgangskoden, som kan opfange transit-netværkstrafik (selvom den oprindelige anmodning blev fremsendt via HTTPS, da DNS-trafik ikke er krypteret). Når du bruger DNS over HTTPS (DoH), er lækagen begrænset til DoH-sætningen.
Endelig er en anden af de ændringer, der er integreret i den nye version, tilføjelsen af muligheden "–tilforsøg-alle-fejl" til gentagne forsøg på at udføre operationer, når der opstår en fejl.
Hvordan installeres cURL på Linux?
For dem der er interesserede i at kunne installere denne nye version af cURL De kan gøre det ved at downloade kildekoden og kompilere den.
For at gøre dette er den første ting, vi skal gøre, at downloade den nyeste cURL-pakke ved hjælp af en terminal, i den lad os skrive:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Derefter skal vi pakke den downloadede pakke ud med:
tar -xzvf curl-7.71.0.tar.xz
Vi går ind i den nyoprettede mappe med:
cd curl-7.71.0
Vi går ind som rod med:
sudo su
Og vi skriver følgende:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Endelig kan vi kontrollere versionen med:
curl --version
Hvis du vil vide mere om det, kan du høre følgende link.