Już dostępny nowa wersja aktualizacji doraz „cURL 7.71.0”, w którym skupili się na rozwiązaniu dwóch poważnych błędów które umożliwiają dostęp do haseł, a także możliwość nadpisywania plików. Dlatego pojawia się zaproszenie do aktualizacji do nowej wersji.
Dla nieświadomych to narzędzie, powinni to wiedzieć służy do odbierania i wysyłania danych przez sieć, Zapewnia możliwość elastycznego tworzenia żądania poprzez ustawienie parametrów, takich jak plik cookie, user_agent, referer i dowolny inny nagłówek.
cURL obsługuje protokoły HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP i inne protokoły sieciowe. W tym samym czasie wydano równoległą aktualizację biblioteki libcurl, która udostępnia API do wykorzystania wszystkich funkcji curl w programach w językach takich jak C, Perl, PHP, Python.
Główne zmiany w cURL 7.71.0
Ta nowa wersja jest aktualizacją i jak wspomniano na początku, chodzi o rozwiązanie dwóch błędów, które są następujące:
- Luka CVE-2020-8177- Pozwala to atakującemu na nadpisanie lokalnego pliku w systemie podczas uzyskiwania dostępu do kontrolowanego serwera ataku. Problem pojawia się tylko wtedy, gdy opcje „-J” („–remote-header-name”) i „-i” („–head”) są używane jednocześnie.
opcja „-J” umożliwia zapisanie pliku pod określoną nazwą w nagłówku „Content-Disposition”. Sjuż istnieje plik o tej samej nazwie, program curl zwykle odmawia nadpisania, ale jeśli opcja "-I" jest obecne, logika weryfikacji jest naruszona i nadpisana plik (weryfikacja jest wykonywana na etapie odbioru treści odpowiedzi, ale z opcją „-i” nagłówki HTTP wychodzą jako pierwsze i mają czas na utrwalenie się przed przetworzeniem treści odpowiedzi). W pliku są zapisywane tylko nagłówki HTTP.
- Luka CVE-2020-8169: może to spowodować wyciek z serwera DNS niektórych haseł dostępu do witryny (podstawowe, szyfrowane, NTLM itp.).
W przypadku użycia znaku „@” w haśle, który jest również używany jako separator hasła w adresie URL, po uruchomieniu przekierowania HTTP, curl wyśle część hasła po znaku „@” wraz z domeną w celu ustalenia Nazwa.
Na przykład jeśli określisz hasło „hasło @ hasło” i nazwę użytkownika „użytkownik”, curl wygeneruje adres URL „https: // użytkownik: hasło @ hasło @ example.com / ścieżka” zamiast „https: użytkownik: hasło” % 40passw@example.com/path ”i wyślij żądanie rozwiązania hosta„ pasww@example.com ”zamiast„ example.com ”.
Problem objawia się podczas włączania obsługi readresatorów HTTP Względny (wyłączony przez CURLOPT_FOLLOWLOCATION).
W przypadku korzystania z tradycyjnego DNS, dostawca DNS i osoba atakująca mogą znaleźć informacje o części hasła, który może przechwytywać ruch sieciowy (nawet jeśli pierwotne żądanie zostało wysłane przez HTTPS, ponieważ ruch DNS nie jest szyfrowany). W przypadku korzystania z usługi DNS przez HTTPS (DoH) wyciek jest ograniczony do instrukcji DoH.
Wreszcie, kolejną zmianą, która została uwzględniona w nowej wersji, jest dodanie opcji „–retry-all-errors”, która umożliwia powtarzanie prób wykonania operacji w przypadku wystąpienia błędu.
Jak zainstalować cURL w systemie Linux?
Dla tych, którzy są zainteresowani możliwością zainstalowania nowej wersji cURL Mogą to zrobić, pobierając kod źródłowy i kompilując go.
Aby to zrobić, pierwszą rzeczą, którą zamierzamy zrobić, jest pobranie najnowszego pakietu cURL za pomocą terminala, w tym wpiszmy:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Następnie rozpakujemy pobrany pakiet za pomocą:
tar -xzvf curl-7.71.0.tar.xz
Do nowo utworzonego folderu wchodzimy za pomocą:
cd curl-7.71.0
Wchodzimy jako root z:
sudo su
I wpisujemy:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Wreszcie możemy sprawdzić wersję za pomocą:
curl --version
Jeśli chcesz dowiedzieć się więcej na ten temat, możesz skonsultować się poniższy link.