Acum disponibil noua versiune de actualizare dși „cURL 7.71.0”, în care s-au concentrat pe rezolvarea a două erori grave care permit parolele de acces și, de asemenea, posibilitatea de a suprascrie fișiere. De aceea este făcută invitația de a face upgrade la noua versiune.
Pentru cei care nu știu această utilitate, ar trebui să știe asta servește pentru a primi și trimite date prin rețea, oferă posibilitatea de a forma flexibil o cerere prin setarea parametrilor precum cookie, user_agent, înțelegere și orice alt antet.
cURL acceptă HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP și alte protocoale de rețea. În același timp, a fost lansată o actualizare paralelă la biblioteca libcurl, care oferă un API pentru a utiliza toate funcțiile curl din programe în limbi precum C, Perl, PHP, Python.
Principalele modificări în cURL 7.71.0
Această nouă versiune este o actualizare și, așa cum am menționat la început, vine să rezolve două erori, care sunt următoarele:
- Vulnerabilitate CVE-2020-8177- Acest lucru permite unui atacator să suprascrie un fișier local pe sistem atunci când accesează un server de atac controlat. Problema se manifestă numai atunci când opțiunile „-J” („–remote-header-name”) și „-i” („–head”) sunt utilizate simultan.
Opțiunea „-J” vă permite să salvați fișierul cu numele specificat în antetul „Content-Disposition”. SExist deja un fișier cu același nume, programul curl refuză în mod normal să suprascrie, dar dacă opțiunea „-I” este prezent, logica de verificare este încălcată și suprascrisă fișierul (verificarea se face la etapa de recepție a corpului de răspuns, dar cu opțiunea „-i” anteturile HTTP ies mai întâi și au timp să persiste înainte de a procesa corpul de răspuns). Numai anteturile HTTP sunt scrise în fișier.
- Vulnerabilitatea CVE-2020-8169: acest lucru ar putea cauza o scurgere în serverul DNS a unor parole pentru accesarea site-ului (Basic, Digest, NTLM etc.).
Atunci când utilizați caracterul „@” într-o parolă, care este, de asemenea, utilizată ca delimitator de parolă în adresa URL, când este declanșată o redirecționare HTTP, curl va trimite o parte a parolei după caracterul „@” împreună cu domeniul pentru a determina Nume.
De exemplu, dacă specificați parola "passw @ passw" și numele de utilizator "user", curl va genera adresa URL "https: // user: passw @ passw @ example.com / path" în loc de "https: user: passw % 40passw@example.com/path "și trimiteți o solicitare de rezolvare a gazdei" pasww@example.com "în loc de" example.com ".
Problema se manifestă la activarea suportului pentru redirectoarele HTTP Relativ (dezactivat prin CURLOPT_FOLLOWLOCATION).
În cazul utilizării DNS-ului tradițional, furnizorul DNS și atacatorul pot găsi informații despre o parte a parolei, care poate intercepta traficul de rețea de tranzit (chiar dacă solicitarea inițială a fost făcută prin HTTPS, deoarece traficul DNS nu este criptat). Când utilizați DNS prin HTTPS (DoH), scurgerea este limitată la instrucțiunea DoH.
În cele din urmă, o altă dintre modificările care este integrată în noua versiune este adăugarea opțiunii „–încercați toate erorile” pentru încercări repetate de a efectua operațiuni atunci când apare o eroare.
Cum se instalează cURL pe Linux?
Pentru cei care sunt interesați să poată instala această nouă versiune de cURL O pot face descărcând codul sursă și compilându-l.
Pentru a face acest lucru, primul lucru pe care îl vom face este să descărcăm cel mai recent pachet cURL cu ajutorul unui terminal, în el să tastăm:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Apoi, vom dezarhiva pachetul descărcat cu:
tar -xzvf curl-7.71.0.tar.xz
Intrăm în folderul nou creat cu:
cd curl-7.71.0
Intrăm ca root cu:
sudo su
Și tastăm următoarele:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
În cele din urmă putem verifica versiunea cu:
curl --version
Dacă doriți să aflați mai multe despre aceasta, puteți consulta următorul link.