Dabar yra nauja atnaujinimo versija dir „cURL 7.71.0“, kuriuose jie sutelkė dėmesį į dviejų rimtų klaidų pašalinimą leidžiančius pasiekti slaptažodžius ir galimybę perrašyti failus. Štai kodėl kviečiama atnaujinti naują versiją.
Tiems, kurie nežino šis įrankis, jie turėtų tai žinoti tarnauja duomenims gauti ir siųsti tinklu, Suteikia galimybę lanksčiai formuoti užklausą nustatant tokius parametrus kaip slapukas, user_agent, referer ir bet kokia kita antraštė.
raitytis palaiko HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP ir kitus tinklo protokolus. Tuo pačiu metu buvo išleistas lygiagretusis „libcurl“ bibliotekos atnaujinimas, kuris suteikia API naudoti visas garbanos funkcijas programose tokiomis kalbomis kaip C, Perl, PHP, Python.
Pagrindiniai 7.71.0 CURL pokyčiai
Ši nauja versija yra atnaujinimas ir, kaip minėta pradžioje, ji turi išspręsti dvi klaidas, kurios yra šios:
- Pažeidžiamumas CVE-2020-8177- Tai leidžia užpuolikui perrašyti vietinį failą sistemoje, kai jis prisijungia prie kontroliuojamo atakos serverio. Problema pasireiškia tik tada, kai vienu metu naudojamos parinktys „-J“ („–remote-header-name“) ir „-i“ („–head“).
Pasirinkimas „-J“ leidžia išsaugoti failą nurodytu pavadinimu antraštėje „Turinio išdėstymas“. Saš jau egzistuoju failą tuo pačiu pavadinimu, programa garbanotis paprastai atsisako perrašyti, bet jei galimybė „-I“ yra, patikrinimo logika pažeidžiama ir perrašoma failas (patikrinimas atliekamas atsakymo kūno priėmimo etape, tačiau pasirinkus „-i“ HTTP antraštės pirmiausia išeina ir turi laiko išlikti prieš apdorodamos atsakymo tekstą). Į failą rašomos tik HTTP antraštės.
- CVE-2020-8169 pažeidžiamumas: tai gali sukelti kai kurių slaptažodžių, leidžiančių patekti į svetainę („Basic“, „Digest“, „NTLM“ ir kt.), nutekėjimą.
Kai slaptažodyje naudojamas simbolis „@“, kuris URL taip pat naudojamas kaip slaptažodžio skiriamasis elementas, kai suaktyvinamas HTTP peradresavimas, garbanė išsiųs dalį slaptažodžio po simbolio „@“ kartu su domenu, kad nustatytų vardas.
Pvz., Jei nurodysite slaptažodį „passw @ passw“ ir vartotojo vardą „user“, garbanojimas generuos URL „https: // user: passw @ passw @ example.com / path“ vietoj „https: user: passw“ % 40passw@example.com/path "ir atsiųskite užklausą, kad išspręstumėte pagrindinį kompiuterį„ pasww@example.com “, o ne„ example.com “.
Problema pasireiškia įgalinant HTTP peradresuotojų palaikymą Giminaitis (išjungtas per CURLOPT_FOLLOWLOCATION).
Jei naudojate tradicinį DNS, DNS teikėjas ir užpuolikas gali rasti informacijos apie dalį slaptažodžio, kuris gali perimti tranzitinio tinklo srautą (net jei pradinė užklausa buvo pateikta per HTTPS, nes DNS srautas nėra užšifruotas). Naudojant DNS per HTTPS (DoH), nutekėjimas apsiriboja DoH sakiniu.
Galiausiai, dar vienas iš pakeitimų, integruotų į naują versiją, yra parinkties „Išbandyti visas klaidas“ pridėjimas pakartotiniams bandymams atlikti operacijas įvykus klaidai.
Kaip įdiegti „CURL“ sistemoje „Linux“?
Tiems, kurie domisi galimybe įdiegti šią naują „CURL“ versiją Jie gali tai padaryti atsisiųsdami šaltinio kodą ir sukompiliuodami.
Norėdami tai padaryti, pirmas dalykas, kurį ketiname padaryti, yra terminalo pagalba atsisiųsti naujausią „CURL“ paketą įveskite:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Tada atsispausdintą paketą išklijuosime su:
tar -xzvf curl-7.71.0.tar.xz
Mes įeiname į naujai sukurtą aplanką su:
cd curl-7.71.0
Mes įvedame kaip šaknį su:
sudo su
Mes įrašome:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Galiausiai galime patikrinti versiją naudodami:
curl --version
Jei norite apie tai sužinoti daugiau, galite pasikonsultuoti šią nuorodą.