Tagad pieejams jaunā atjauninājuma versija dun “cURL 7.71.0”, kur viņi koncentrējās uz divu nopietnu kļūdu novēršanu kas ļauj piekļūt parolēm un arī iespēju pārrakstīt failus. Tāpēc tiek uzaicināts atjaunināt jauno versiju.
Tiem, kas nezina šī lietderība, viņiem tas jāzina kalpo datu saņemšanai un nosūtīšanai tīklā, Nodrošina iespēju elastīgi veidot pieprasījumu, iestatot tādus parametrus kā sīkfails, user_agent, referer un jebkuru citu galveni.
čokurošanās atbalsta HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP un citus tīkla protokolus. Tajā pašā laikā libcurl bibliotēkā tika izlaists paralēls atjauninājums, kas nodrošina API, lai izmantotu visas čokurošanās funkcijas programmās tādās valodās kā C, Perl, PHP, Python.
Galvenās izmaiņas curl 7.71.0
Šī jaunā versija ir atjauninājums, un, kā jau minēts sākumā, ir jāatrisina divas šādas kļūdas:
- Ievainojamība CVE-2020-8177- Tas ļauj uzbrucējam pārrakstīt sistēmas lokālo failu, piekļūstot kontrolēta uzbrukuma serverim. Problēma izpaužas tikai tad, ja vienlaicīgi tiek izmantotas opcijas "-J" ("–remote-header-name") un "-i" ("–head").
Iespēja "-J" ļauj saglabāt failu ar norādīto nosaukumu galvenē “Satura izvietošana”. Sman jau ir fails ar tādu pašu nosaukumu, programma čokurošanās parasti atsakās pārrakstīt, bet, ja opcija "-I" ir klāt, pārbaudes loģika ir pārkāpta un pārrakstīta fails (pārbaude tiek veikta atbildes struktūras saņemšanas stadijā, bet ar opciju "-i" vispirms tiek izdzēstas HTTP galvenes, un pirms atbildes ķermeņa apstrādes ir laiks pastāvēt). Failā tiek ierakstītas tikai HTTP galvenes.
- CVE-2020-8169 ievainojamība: tas var izraisīt dažu paroļu noplūdi DNS serverī, lai piekļūtu vietnei (Basic, Digest, NTLM utt.).
Ja parolē izmantojat rakstzīmi "@", kas tiek izmantota arī kā paroles atdalītājs URL, aktivizējot HTTP novirzīšanu, čokurošanās nosūta paroles daļu aiz rakstzīmes "@" kopā ar domēnu, lai noteiktu nosaukums.
Piemēram, ja jūs norādāt paroli "passw @ passw" un lietotājvārdu "user", čokurošanās "https: // user: passw @ passw @ example.com / path" vietā ģenerēs vietrādi "https: user: passw" % 40passw@example.com/path "un nosūtiet pieprasījumu, lai atrisinātu resursdatoru" pasww@example.com ", nevis" example.com ".
Problēma izpaužas, iespējojot HTTP novirzītāju atbalstu Relatīvs (atspējots, izmantojot CURLOPT_FOLLOWLOCATION).
Tradicionālā DNS izmantošanas gadījumā DNS nodrošinātājs un uzbrucējs var atrast informāciju par paroles daļu, kas var pārtvert tranzīta tīkla trafiku (pat ja sākotnējais pieprasījums tika veikts, izmantojot HTTPS, jo DNS trafika nav šifrēta). Izmantojot DNS, izmantojot HTTPS (DoH), noplūde ir ierobežota ar DoH paziņojumu.
Visbeidzot, vēl viena no izmaiņām, kas ir integrēta jaunajā versijā, ir opcijas "mēģiniet mēģināt visas kļūdas" pievienošana atkārtotiem mēģinājumiem veikt darbības, kad rodas kļūda.
Kā instalēt CURL uz Linux?
Tiem, kurus interesē iespēja instalēt šo jauno curl versiju Viņi to var izdarīt, lejupielādējot avota kodu un apkopojot to.
Lai to izdarītu, vispirms mēs ar termināla palīdzību lejupielādēsim jaunāko CURL pakotni ierakstīsim:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Tad mēs lejupielādēto pakotni noņemsim ar:
tar -xzvf curl-7.71.0.tar.xz
Mēs ieejam jaunizveidotajā mapē ar:
cd curl-7.71.0
Mēs ievadām kā saknes ar:
sudo su
Mēs ierakstām šādi:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Visbeidzot, mēs varam pārbaudīt versiju ar:
curl --version
Ja vēlaties uzzināt vairāk par to, varat konsultēties šo saiti.