Nu verkrijgbaar de nieuwe updateversie den “cURL 7.71.0”, waarin ze zich concentreerden op het oplossen van twee ernstige bugs die toegangswachtwoorden toestaan en ook de mogelijkheid om bestanden te overschrijven. Daarom wordt de uitnodiging gedaan om te upgraden naar de nieuwe versie.
Voor degenen die het niet weten dit hulpprogramma, ze zouden dat moeten weten dient om gegevens over het netwerk te ontvangen en te verzenden, Biedt de mogelijkheid om flexibel een verzoek te formuleren door parameters in te stellen zoals cookie, user_agent, referer en elke andere header.
Krul ondersteunt HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP en andere netwerkprotocollen. Tegelijkertijd werd een parallelle update uitgebracht voor de libcurl-bibliotheek, die een API biedt om alle curl-functies te gebruiken in programma's in talen zoals C, Perl, PHP, Python.
Belangrijkste veranderingen in cURL 7.71.0
Deze nieuwe versie is een update en zoals in het begin vermeld, moet het twee fouten oplossen, namelijk de volgende:
- Kwetsbaarheid CVE-2020-8177- Hierdoor kan een aanvaller een lokaal bestand op het systeem overschrijven bij toegang tot een gecontroleerde aanvalserver. Het probleem treedt alleen op als de opties "-J" ("–remote-header-name") en "-i" ("–head") gelijktijdig worden gebruikt.
De keuze Met "-J" kunt u het bestand met de opgegeven naam opslaan in de "Content-Disposition" header. Sik besta al een bestand met dezelfde naam, het programma curl weigert normaal gesproken te overschrijven, maar als de optie "-I" is aanwezig, controlelogica is geschonden en overschreven het bestand (verificatie wordt gedaan in de ontvangstfase van de responsbody, maar met de "-i" -optie gaan de HTTP-headers eerst uit en hebben ze tijd om door te gaan voordat de responsbody wordt verwerkt). Alleen HTTP-headers worden naar het bestand geschreven.
- De kwetsbaarheid van CVE-2020-8169: dit kan een lek veroorzaken in de DNS-server van sommige wachtwoorden om toegang te krijgen tot de site (Basic, Digest, NTLM, enz.).
Bij gebruik van het "@" -teken in een wachtwoord, dat ook wordt gebruikt als wachtwoordscheidingsteken in de URL, wanneer een HTTP-omleiding wordt geactiveerd, stuurt curl een deel van het wachtwoord na het "@" -teken samen met het domein om te bepalen naam.
Als u bijvoorbeeld het wachtwoord "passw @ passw" en de gebruikersnaam "user" opgeeft, genereert curl de URL "https: // user: passw @ passw @ example.com / path" in plaats van "https: user: passw % 40passw@example.com/path "en stuur een verzoek om de host" pasww@example.com "op te lossen in plaats van" example.com ".
Het probleem manifesteert zich bij het inschakelen van ondersteuning voor HTTP-redirectors Relatief (uitgeschakeld via CURLOPT_FOLLOWLOCATION).
In het geval van het gebruik van traditionele DNS, de DNS-provider en de aanvaller kunnen informatie vinden over een deel van het wachtwoord, dat transitnetwerkverkeer kan onderscheppen (zelfs als het oorspronkelijke verzoek via HTTPS is gedaan, aangezien DNS-verkeer niet is gecodeerd). Bij gebruik van DNS over HTTPS (DoH) is het lek beperkt tot de DoH-verklaring.
Ten slotte is een andere wijziging die in de nieuwe versie is geïntegreerd de toevoeging van de optie "–alle fouten opnieuw proberen" voor herhaalde pogingen om bewerkingen uit te voeren wanneer er een fout optreedt.
Hoe installeer ik cURL op Linux?
Voor degenen die geïnteresseerd zijn om deze nieuwe versie van cURL te kunnen installeren Ze kunnen het doen door de broncode te downloaden en deze te compileren.
Om dit te doen, is het eerste dat we gaan doen het nieuwste cURL-pakket downloaden met behulp van een terminal erin laten we typen:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Vervolgens gaan we het gedownloade pakket uitpakken met:
tar -xzvf curl-7.71.0.tar.xz
We gaan de nieuw aangemaakte map binnen met:
cd curl-7.71.0
We voeren als root in met:
sudo su
En we typen het volgende:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Eindelijk kunnen we de versie controleren met:
curl --version
Als je er meer over wilt weten, kun je overleggen de volgende link.