Most elérhető az új frissítési verzió dés a „cURL 7.71.0”, amelyben két súlyos hiba megoldására összpontosítottak amelyek lehetővé teszik a hozzáférési jelszavakat és a fájlok felülírásának lehetőségét. Ezért kérik az új verzióra való frissítést.
Azok számára, akik nincsenek tudatában ez a segédprogram, ezt tudniuk kellene adatok fogadására és küldésére szolgál a hálózaton keresztül, Lehetővé teszi a kérelem rugalmas formálását olyan paraméterek beállításával, mint a cookie, user_agent, referer és bármely más fejléc.
USE támogatja a HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP és más hálózati protokollokat. Ezzel egy időben párhuzamos frissítés jelent meg a libcurl könyvtárban, amely API-t biztosít az összes curl függvény használatához olyan nyelvű programokban, mint a C, Perl, PHP, Python.
Főbb változások a 7.71.0
Ez az új verzió egy frissítés, és amint az elején említettük, két hibát kell megoldani, amelyek a következők:
- CVE-2020-8177 biztonsági rése- Ez lehetővé teszi a támadó számára, hogy felülírja a rendszer helyi fájlját, amikor egy ellenőrzött támadókiszolgálóhoz fér hozzá. A probléma csak akkor jelentkezik, ha a "-J" ("–remote-header-name") és az "-i" ("–head") opciókat egyszerre használják.
A választás A "-J" lehetővé teszi a fájl mentését a megadott névvel a "Content-Disposition" fejlécben. Smár létezik egy azonos nevű fájl, a program a göndör általában nem hajlandó felülírni, de ha az opció "-I" jelen van, az ellenőrzési logikát megsértik és felülírják a fájl (az ellenőrzés a választest fogadásának szakaszában történik, de az "-i" opcióval a HTTP fejlécek mennek ki először, és van időjük kitartani a választest feldolgozása előtt). Csak a HTTP fejléceket írja a fájl.
- A CVE-2020-8169 biztonsági rés: ez szivárgást okozhat a DNS-kiszolgálón, hogy néhány jelszó hozzáférjen a webhelyhez (Basic, Digest, NTLM stb.).
Ha a "@" karaktert használja egy jelszóban, amelyet jelszó-elválasztóként is használnak az URL-ben, akkor HTTP-átirányítás indításakor a curl elküldi a jelszó egy részét a "@" karakter után a domainnel együtt, hogy meghatározza név.
Például, ha megadja a "passw @ passw" jelszót és a "user" felhasználónevet, akkor a curl a "https: // user: passw @ passw @ example.com / path" URL-t generálja a "https: user: passw" helyett % 40passw@example.com/path ", és küldjön egy kérést a" pasww@example.com "hoszt feloldására az" example.com "helyett.
A probléma akkor jelentkezik, amikor engedélyezi a HTTP-átirányítók támogatását Relatív (letiltva a CURLOPT_FOLLOWLOCATION oldalon).
Hagyományos DNS használata esetén a DNS-szolgáltató és a támadó információkat találhat a jelszó egy részéről, amely képes elfogni a tranzit hálózati forgalmat (még akkor is, ha az eredeti kérést HTTPS-en keresztül tették, mivel a DNS-forgalom nincs titkosítva). Ha a DNS-t HTTPS-en (DoH) keresztül használja, akkor a szivárgás a DoH utasításra korlátozódik.
Végül, az új verzióba integrált változások egyike a "–próbálkozzon-minden hibával” opció hozzáadása a műveletek ismételt kísérleteihez hiba esetén.
Hogyan telepítsük a cURL-t Linux-ra?
Azok számára, akik érdeklődnek a cURL új verziójának telepítése iránt Megtehetik a forráskód letöltésével és fordításával.
Ehhez első lépésként a legfrissebb CURL csomagot töltsük le egy terminál segítségével, benne írjuk be:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Ezután kibontjuk a letöltött csomagot a következőkkel:
tar -xzvf curl-7.71.0.tar.xz
Belépünk az újonnan létrehozott mappába:
cd curl-7.71.0
Gyökérként adjuk meg:
sudo su
És beírjuk a következőket:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Végül ellenőrizhetjük a verziót:
curl --version
Ha többet szeretne tudni róla, konzultálhat a következő link.