Sada dostupno nova verzija ažuriranja di “cURL 7.71.0”, u kojem su se usredotočili na rješavanje dvije ozbiljne programske pogreške koji omogućuju pristupne lozinke i također moć prepisivanja datoteka. Zbog toga se upućuje poziv za nadogradnju na novu verziju.
Za one koji ne znaju ovaj uslužni program, to bi trebali znati služi za primanje i slanje podataka putem mreže, Pruža mogućnost fleksibilnog formiranja zahtjeva postavljanjem parametara kao što su kolačić, user_agent, referer i bilo koje drugo zaglavlje.
sklupčati podržava HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP i druge mrežne protokole. Istodobno je objavljeno paralelno ažuriranje biblioteke libcurl, koje pruža API za korištenje svih funkcija curla u programima na jezicima kao što su C, Perl, PHP, Python.
Glavne promjene u curL-u 7.71.0
Ova nova verzija je ažuriranje i kao što je spomenuto na početku, dolazi do rješavanja dvije programske pogreške, a to su sljedeće:
- Ranjivost CVE-2020-8177- To omogućuje napadaču da prepiše lokalnu datoteku u sustavu prilikom pristupa kontroliranom poslužitelju napada. Problem se očituje samo kada se istovremeno koriste opcije "-J" ("–remote-header-name") i "-i" ("–head").
Izbor "-J" omogućuje vam spremanje datoteke s navedenim imenom u zaglavlju "Content-Disposition". Sveć postoji datoteka s istim imenom, program curl normalno odbija prebrisati, ali ako je opcija Prisutan je "-I", logika provjere je prekršena i prepisana datoteku (provjera se vrši u fazi prijema tijela odgovora, ali s opcijom "-i" HTTP zaglavlja prva se isključuju i imaju vremena da se zadrže prije obrade tijela odgovora). U datoteku se zapisuju samo HTTP zaglavlja.
- Ranjivost CVE-2020-8169: to bi moglo dovesti do curenja nekih lozinki na DNS poslužitelju za pristup web mjestu (Basic, Digest, NTLM, itd.).
Prilikom upotrebe znaka "@" u lozinci, koji se koristi i kao graničnik lozinke u URL-u, kada se pokrene HTTP preusmjeravanje, curl će poslati dio lozinke nakon znaka "@" zajedno s domenom kako bi odredio Ime.
Na primjer, ako navedete lozinku "passw @ passw" i korisničko ime "user", curl će generirati URL "https: // user: passw @ passw @ example.com / path" umjesto "https: user: passw % 40passw@example.com/path "i pošaljite zahtjev za rješavanje hosta" pasww@example.com "umjesto" example.com ".
Problem se očituje prilikom omogućavanja podrške za HTTP preusmjerivače Relativni (onemogućen putem CURLOPT_FOLLOWLOCATION).
U slučaju korištenja tradicionalnog DNS-a, davatelj DNS-a i napadač mogu pronaći informacije o dijelu lozinke, koji mogu presresti tranzitni mrežni promet (čak i ako je izvorni zahtjev poslan putem HTTPS-a, jer DNS promet nije šifriran). Kada se koristi DNS preko HTTPS-a (DoH), curenje je ograničeno na izjavu DoH.
Konačno, još jedna od promjena koja je integrirana u novu verziju je dodavanje opcije "–pokušaj-sve-pogreške" za ponovljene pokušaje izvođenja operacija kada se dogodi greška.
Kako instalirati cURL na Linux?
Za one koji su zainteresirani za mogućnost instaliranja ove nove verzije cURL-a To mogu učiniti preuzimanjem izvornog koda i kompajliranjem.
Da bismo to učinili, prvo što ćemo napraviti je preuzeti najnoviji cURL paket uz pomoć terminala u njemu upišimo:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Tada ćemo raspakirati preuzeti paket s:
tar -xzvf curl-7.71.0.tar.xz
U novostvorenu mapu ulazimo sa:
cd curl-7.71.0
Ulazimo kao root s:
sudo su
I upisujemo sljedeće:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Napokon verziju možemo provjeriti pomoću:
curl --version
Ako želite znati više o tome, možete se posavjetovati sljedeći link.