Jetzt verfügbar die neue Update-Version dund "cURL 7.71.0", in dem sie sich auf die Lösung von zwei schwerwiegenden Fehlern konzentrierten Dies ermöglicht den Zugriff auf Passwörter und das Überschreiben von Dateien. Aus diesem Grund wird zum Upgrade auf die neue Version eingeladen.
Für diejenigen, die es nicht wissen dieses Dienstprogramm, Sie sollten das wissen dient zum Empfangen und Senden von Daten über das Netzwerk, Bietet die Möglichkeit, eine Anforderung flexibel zu erstellen, indem Parameter wie Cookie, user_agent, referer und andere Header festgelegt werden.
cURL unterstützt HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP und andere Netzwerkprotokolle. Gleichzeitig wurde ein paralleles Update für die libcurl-Bibliothek veröffentlicht, die eine API zur Verwendung aller Curl-Funktionen in Programmen in Sprachen wie C, Perl, PHP und Python bereitstellt.
Hauptänderungen in cURL 7.71.0
Diese neue Version ist ein Update und wie zu Beginn erwähnt, werden zwei Fehler behoben: die folgenden:
- Sicherheitsanfälligkeit CVE-2020-8177- Dadurch kann ein Angreifer beim Zugriff auf einen kontrollierten Angriffsserver eine lokale Datei auf dem System überschreiben. Das Problem tritt nur auf, wenn die Optionen "-J" ("–remote-header-name") und "-i" ("–head") gleichzeitig verwendet werden.
Die Wahl Mit "-J" können Sie die Datei unter dem angegebenen Namen speichern im Header "Content-Disposition". S.Ich existiere bereits eine Datei mit dem gleichen Namendas Programm Curl weigert sich normalerweise zu überschreiben, aber wenn die Option "-I" ist vorhanden, die Verifizierungslogik wird verletzt und überschrieben die Datei (die Überprüfung erfolgt in der Empfangsphase des Antwortkörpers, aber mit der Option "-i" gehen die HTTP-Header zuerst aus und haben Zeit, um vor der Verarbeitung des Antwortkörpers zu bleiben). Nur die HTTP-Header werden in die Datei geschrieben.
- Die Sicherheitsanfälligkeit CVE-2020-8169: Dies kann dazu führen, dass im DNS-Server einige Kennwörter für den Zugriff auf die Site (Basic, Digest, NTLM usw.) verloren gehen.
Wenn Sie das Zeichen "@" in einem Kennwort verwenden, das auch als Kennworttrennzeichen in der URL verwendet wird, sendet curl beim Auslösen einer HTTP-Umleitung einen Teil des Kennworts nach dem Zeichen "@" zusammen mit der zu bestimmenden Domäne Name.
Wenn Sie beispielsweise das Kennwort "passw @ passw" und den Benutzernamen "user" angeben, generiert curl die URL "https: // user: passw @ passw @ example.com / path" anstelle von "https: user: passw" % 40passw@example.com/path "und senden Sie eine Anfrage zum Auflösen des Hosts" pasww@example.com "anstelle von" example.com ".
Das Problem tritt auf, wenn die Unterstützung für HTTP-Redirectors aktiviert wird Relativ (durch CURLOPT_FOLLOWLOCATION deaktiviert).
Bei Verwendung von herkömmlichem DNS Der DNS-Anbieter und der Angreifer können Informationen zu einem Teil des Kennworts findenDies kann den Transitnetzwerkverkehr abfangen (auch wenn die ursprüngliche Anforderung über HTTPS gestellt wurde, da der DNS-Verkehr nicht verschlüsselt ist). Bei Verwendung von DNS über HTTPS (DoH) ist das Leck auf die DoH-Anweisung beschränkt.
Eine weitere Änderung, die in die neue Version integriert ist, ist die Hinzufügung der Option "Alle Fehler wiederholen" für wiederholte Versuche, Vorgänge auszuführen, wenn ein Fehler auftritt.
Wie installiere ich cURL unter Linux?
Für diejenigen, die daran interessiert sind, diese neue Version von cURL installieren zu können Sie können dies tun, indem Sie den Quellcode herunterladen und kompilieren.
Dazu laden wir zunächst das neueste cURL-Paket mit Hilfe eines Terminals herunter Geben wir Folgendes ein:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Dann werden wir das heruntergeladene Paket entpacken mit:
tar -xzvf curl-7.71.0.tar.xz
Wir betreten den neu erstellten Ordner mit:
cd curl-7.71.0
Wir geben als root ein mit:
sudo su
Und wir geben Folgendes ein:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Schließlich können wir die Version überprüfen mit:
curl --version
Wenn Sie mehr darüber erfahren möchten, können Sie sich beraten den folgenden Link.