Nyt saatavilla uusi päivitysversio dja “cURL 7.71.0”, joissa he keskittyivät kahden vakavan virheen ratkaisemiseen jotka mahdollistavat pääsysalasanat ja myös mahdollisuuden korvata tiedostoja. Siksi kutsutaan päivittämään uuteen versioon.
Niille, jotka eivät tiedä tämä apuohjelma, heidän pitäisi tietää se palvelee tietojen vastaanottamista ja lähettämistä verkon kautta, Tarjoaa mahdollisuuden muodostaa pyyntö joustavasti asettamalla parametreja, kuten eväste, user_agent, referer ja muut otsikot.
cURL tukee HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP ja muita verkkoprotokollia. Samanaikaisesti libcurl-kirjastoon julkaistiin rinnakkainen päivitys, joka tarjoaa API: n käyttämään kaikkia käpristystoimintoja ohjelmissa kielillä, kuten C, Perl, PHP, Python.
Tärkeimmät muutokset 7.71.0: n käyrässä
Tämä uusi versio on päivitys, ja kuten alussa mainittiin, se ratkaisee kaksi virhettä, jotka ovat seuraavat:
- Haavoittuvuus CVE-2020-8177- Tämän avulla hyökkääjä voi korvata paikallisen tiedoston järjestelmässä, kun hän käyttää ohjattua hyökkäyspalvelinta. Ongelma ilmenee vain, kun vaihtoehtoja "-J" ("–remote-header-name") ja "-i" ("–head") käytetään samanaikaisesti.
Vaihtoehto "-J" avulla voit tallentaa tiedoston määritetyllä nimellä Sisältö-hävittäminen-otsikossa. Sminulla on jo tiedosto, jolla on sama nimi, ohjelma curl yleensä kieltäytyy korvaamasta, mutta jos vaihtoehto "-I" on läsnä, tarkistuslogiikkaa on rikottu ja korvattu tiedosto (vahvistus suoritetaan vastausrungon vastaanottovaiheessa, mutta "-i" -vaihtoehdolla HTTP-otsikot sammuvat ensin ja niillä on aikaa jatkaa ennen vastauksen rungon käsittelyä). Vain HTTP-otsikot kirjoitetaan tiedostoon.
- CVE-2020-8169-haavoittuvuus: tämä voi aiheuttaa vuotoa DNS-palvelimessa joidenkin salasanojen pääsyyn sivustoon (Basic, Digest, NTLM jne.).
Kun käytetään @ -merkkiä salasanassa, jota käytetään myös salasanan erottimena URL-osoitteessa, kun HTTP-uudelleenohjaus käynnistetään, käyristys lähettää osan salasanasta @ -merkin jälkeen yhdessä toimialueen kanssa määritettäessä nimi.
Jos esimerkiksi määrität salasanan "passw @ passw" ja käyttäjätunnuksen "user", curl luo URL-osoitteen "https: // user: passw @ passw @ example.com / path" "https: user: passw" sijaan % 40passw@example.com/path "ja lähetä pyyntö isännän" pasww@example.com "ratkaisemiseksi" example.com "sijaan.
Ongelma ilmenee, kun otetaan käyttöön tuki HTTP-uudelleenohjaajille Suhteellinen (poistettu käytöstä CURLOPT_FOLLOWLOCATION kautta).
Perinteisen DNS: n tapauksessa DNS-palveluntarjoaja ja hyökkääjä voivat löytää tietoja salasanan osasta, joka voi siepata kauttakulkuverkkoliikennettä (vaikka alkuperäinen pyyntö olisi tehty HTTPS: n kautta, koska DNS-liikennettä ei ole salattu). Kun käytetään DNS: ää HTTPS: n (DoH) kautta, vuoto on rajoitettu DoH-käskyyn.
Lopuksi toinen uuteen versioon integroiduista muutoksista on lisäys "yritä uudelleen-kaikki virheet" -vaihtoehtoon toistuville yrityksille suorittaa toimintoja virheen tapahtuessa.
Kuinka asentaa cURL Linuxiin?
Niille, jotka ovat kiinnostuneita asentamaan tämän uuden version cURL He voivat tehdä sen lataamalla lähdekoodin ja kokoamalla sen.
Voit tehdä tämän ensin lataamalla uusimman cURL-paketin päätelaitteen avulla siihen kirjoitetaan:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Sitten puramme ladatun paketin:
tar -xzvf curl-7.71.0.tar.xz
Syötä äskettäin luotu kansio:
cd curl-7.71.0
Annamme juureksi:
sudo su
Ja kirjoitamme seuraavat:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Lopuksi voimme tarkistaa version:
curl --version
Jos haluat tietää enemmän siitä, voit ottaa yhteyttä seuraava linkki.