Τώρα διαθέσιμο η νέα έκδοση ενημέρωσης δκαι «cURL 7.71.0», όπου επικεντρώθηκαν στην επίλυση δύο σοβαρών σφαλμάτων που επιτρέπουν τους κωδικούς πρόσβασης και επίσης τη δυνατότητα αντικατάστασης αρχείων. Γι 'αυτό γίνεται η πρόσκληση για αναβάθμιση στη νέα έκδοση.
Για όσους δεν το γνωρίζουν αυτό το βοηθητικό πρόγραμμα, θα πρέπει να το γνωρίζουν χρησιμεύει για τη λήψη και αποστολή δεδομένων μέσω του δικτύου, Παρέχει τη δυνατότητα σχηματισμού ευέλικτου αιτήματος με τον καθορισμό παραμέτρων όπως cookie, user_agent, referer και οποιαδήποτε άλλη κεφαλίδα.
cURL υποστηρίζει HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP και άλλα πρωτόκολλα δικτύου. Ταυτόχρονα, κυκλοφόρησε μια παράλληλη ενημέρωση στη βιβλιοθήκη libcurl, η οποία παρέχει ένα API για τη χρήση όλων των λειτουργιών μπούκλας σε προγράμματα σε γλώσσες όπως C, Perl, PHP, Python.
Κύριες αλλαγές στο cURL 7.71.0
Αυτή η νέα έκδοση είναι μια ενημέρωση και, όπως αναφέρεται στην αρχή, επιλύεται δύο σφάλματα, τα οποία είναι τα εξής:
- Ευπάθεια CVE-2020-8177- Αυτό επιτρέπει σε έναν εισβολέα να αντικαταστήσει ένα τοπικό αρχείο στο σύστημα κατά την πρόσβαση σε ελεγχόμενο διακομιστή επίθεσης. Το πρόβλημα εκδηλώνεται μόνο όταν χρησιμοποιούνται ταυτόχρονα οι επιλογές "-J" ("- remote-header-name") και "-i" ("–head").
η επιλογή Το "-J" σας επιτρέπει να αποθηκεύσετε το αρχείο με το καθορισμένο όνομα στην κεφαλίδα "Περιεχόμενο-Διάθεση". μικρόήδη υπάρχει ένα αρχείο με το ίδιο όνομα, το πρόγραμμα το curl συνήθως αρνείται να αντικαταστήσει, αλλά εάν η επιλογή Το "-I" είναι παρόν, η λογική ελέγχου παραβιάζεται και αντικαθίσταται το αρχείο (η επαλήθευση γίνεται στο στάδιο λήψης του σώματος απόκρισης, αλλά με την επιλογή "-i" οι κεφαλίδες HTTP βγαίνουν πρώτα και έχουν χρόνο να παραμείνουν πριν από την επεξεργασία του σώματος απόκρισης). Μόνο οι κεφαλίδες HTTP γράφονται στο αρχείο.
- Η ευπάθεια CVE-2020-8169: Αυτό θα μπορούσε να προκαλέσει διαρροή στο διακομιστή DNS ορισμένων κωδικών πρόσβασης στην πρόσβαση στον ιστότοπο (Basic, Digest, NTLM, κ.λπ.).
Κατά τη χρήση του χαρακτήρα "@" σε έναν κωδικό πρόσβασης, ο οποίος χρησιμοποιείται επίσης ως οριοθέτης κωδικού πρόσβασης στη διεύθυνση URL, όταν ενεργοποιείται μια ανακατεύθυνση HTTP, η μπούκλα θα στείλει ένα μέρος του κωδικού πρόσβασης μετά τον χαρακτήρα "@" μαζί με τον τομέα για τον προσδιορισμό όνομα.
Για παράδειγμα, εάν καθορίσετε τον κωδικό πρόσβασης "passw @ passw" και το όνομα χρήστη "user", το curl θα δημιουργήσει το URL "https: // user: passw @ passw @ example.com / path" αντί για "https: user: passw % 40passw@example.com/path "και στείλτε ένα αίτημα για την επίλυση του κεντρικού υπολογιστή" pasww@example.com "αντί για" example.com ".
Το πρόβλημα εκδηλώνεται όταν ενεργοποιείται η υποστήριξη για ανακατευθυντές HTTP Σχετικός (απενεργοποιήθηκε μέσω CURLOPT_FOLLOWLOCATION).
Σε περίπτωση χρήσης παραδοσιακού DNS, ο πάροχος DNS και ο εισβολέας μπορούν να βρουν πληροφορίες σχετικά με ένα μέρος του κωδικού πρόσβασης, η οποία μπορεί να παρακολουθεί την κυκλοφορία δικτύου διαμετακόμισης (ακόμα και αν το αρχικό αίτημα υποβλήθηκε μέσω HTTPS, καθώς η κίνηση DNS δεν είναι κρυπτογραφημένη). Όταν χρησιμοποιείτε DNS μέσω HTTPS (DoH), η διαρροή περιορίζεται στη δήλωση DoH.
Τέλος, μια άλλη από τις αλλαγές που ενσωματώνονται στη νέα έκδοση είναι η προσθήκη της επιλογής "-retry-all-error" για επαναλαμβανόμενες προσπάθειες εκτέλεσης λειτουργιών όταν παρουσιάζεται σφάλμα.
Πώς να εγκαταστήσετε το cURL σε Linux;
Για όσους ενδιαφέρονται να εγκαταστήσουν αυτήν τη νέα έκδοση του cURL Μπορούν να το κάνουν κατεβάζοντας τον πηγαίο κώδικα και καταρτίζοντάς τον.
Για να γίνει αυτό, το πρώτο πράγμα που πρόκειται να κάνουμε είναι να κατεβάσετε το τελευταίο πακέτο cURL με τη βοήθεια ενός τερματικού, σε αυτό ας πληκτρολογήσουμε:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Στη συνέχεια, θα αποσυμπιέσουμε το ληφθέν πακέτο με:
tar -xzvf curl-7.71.0.tar.xz
Μπαίνουμε στον νέο φάκελο με:
cd curl-7.71.0
Μπαίνουμε ως root με:
sudo su
Και πληκτρολογούμε τα εξής:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Τέλος, μπορούμε να ελέγξουμε την έκδοση με:
curl --version
Αν θέλετε να μάθετε περισσότερα για αυτό, μπορείτε να συμβουλευτείτε τον ακόλουθο σύνδεσμο.