Sekarang tersedia versi pembaruan baru ddan "cURL 7.71.0", yang berfokus pada pemecahan dua bug serius yang memungkinkan sandi akses dan juga kemampuan untuk menimpa file. Itulah mengapa dibuat undangan untuk mengupgrade ke versi baru.
Bagi mereka yang tidak menyadarinya utilitas ini, mereka seharusnya tahu itu berfungsi untuk menerima dan mengirim data melalui jaringan, memberikan kemampuan untuk secara fleksibel membentuk permintaan dengan mengatur parameter seperti cookie, user_agent, referer, dan header lainnya.
keriting mendukung HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP, dan protokol jaringan lainnya. Pada saat yang sama, pembaruan paralel dirilis ke perpustakaan libcurl, yang menyediakan API untuk menggunakan semua fungsi curl dalam program dalam bahasa seperti C, Perl, PHP, Python.
Perubahan utama di cURL 7.71.0
Versi baru ini adalah pembaruan dan seperti yang disebutkan di awal, ia datang untuk menyelesaikan dua bug, yaitu sebagai berikut:
- Kerentanan CVE-2020-8177- Ini memungkinkan penyerang untuk menimpa file lokal pada sistem saat mengakses server serangan yang dikendalikan. Masalahnya hanya memanifestasikan dirinya ketika opsi "-J" ("–remote-header-name") dan "-i" ("–head") digunakan secara bersamaan.
pilihan "-J" memungkinkan Anda untuk menyimpan file dengan nama yang ditentukan di tajuk "Content-Disposition". Ssaya sudah ada file dengan nama yang sama, programnya curl biasanya menolak untuk ditimpa, tetapi jika opsi Ada "-I", logika periksa dilanggar dan ditimpa file (verifikasi dilakukan pada tahap penerimaan isi respons, tetapi dengan opsi "-i", header HTTP keluar terlebih dahulu dan memiliki waktu untuk tetap ada sebelum memproses isi respons). Hanya header HTTP yang ditulis ke file.
- Kerentanan CVE-2020-8169: ini dapat menyebabkan kebocoran di server DNS beberapa kata sandi untuk mengakses situs (Dasar, Intisari, NTLM, dll.).
Saat menggunakan karakter "@" dalam sandi, yang juga digunakan sebagai pemisah sandi di URL, saat pengalihan HTTP dipicu, curl akan mengirimkan bagian sandi setelah karakter "@" bersama dengan domain untuk menentukan nama.
Misalnya, jika Anda menentukan sandi "passw @ passw" dan nama pengguna "pengguna", curl akan menghasilkan URL "https: // user: passw @ passw @ example.com / path" bukan "https: user: passw % 40passw@example.com/path "dan kirim permintaan untuk menyelesaikan host" pasww@example.com ", bukan" example.com ".
Masalahnya memanifestasikan dirinya saat mengaktifkan dukungan untuk pengalihan HTTP Relatif (dinonaktifkan melalui CURLOPT_FOLLOWLOCATION).
Jika menggunakan DNS tradisional, penyedia DNS dan penyerang dapat menemukan informasi tentang sebagian dari kata sandi, yang dapat menghalangi lalu lintas jaringan transit (meskipun permintaan asli dibuat melalui HTTPS, karena lalu lintas DNS tidak dienkripsi). Saat menggunakan DNS melalui HTTPS (DoH), kebocoran terbatas pada pernyataan DoH.
Terakhir, perubahan lain yang diintegrasikan ke dalam versi baru adalah penambahan opsi "–retry-all-error" untuk upaya berulang untuk melakukan operasi saat terjadi kesalahan.
Bagaimana cara menginstal cURL di Linux?
Bagi yang tertarik untuk bisa menginstal cURL versi baru ini Mereka dapat melakukannya dengan mengunduh kode sumber dan mengompilasinya.
Untuk melakukan ini, hal pertama yang akan kita lakukan adalah mengunduh paket cURL terbaru dengan bantuan terminal, di dalamnya mari ketik:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Kemudian, kita akan mengekstrak paket yang diunduh dengan:
tar -xzvf curl-7.71.0.tar.xz
Kami masuk ke folder yang baru dibuat dengan:
cd curl-7.71.0
Kami masuk sebagai root dengan:
sudo su
Dan kami mengetik berikut ini:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Akhirnya kita bisa memeriksa versinya dengan:
curl --version
Jika Anda ingin tahu lebih banyak, Anda bisa berkonsultasi link berikut.