Zdaj na voljo nova različica posodobitve din “cURL 7.71.0”, v katerem so se osredotočili na reševanje dveh resnih napak ki omogočajo gesla za dostop in tudi možnost prepisovanja datotek. Zato je povabilo za nadgradnjo na novo različico.
Za tiste, ki ne vedo ta pripomoček, to bi morali vedeti služi za prejemanje in pošiljanje podatkov po omrežju, Omogoča prilagodljivo oblikovanje zahteve z nastavitvijo parametrov, kot so piškotek, user_agent, napotitelj in katera koli druga glava.
cURL podpira HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP in druge omrežne protokole. Hkrati je bila izdana vzporedna posodobitev knjižnice libcurl, ki ponuja API za uporabo vseh funkcij curl v programih v jezikih, kot so C, Perl, PHP, Python.
Glavne spremembe v kurlu 7.71.0
Ta nova različica je posodobitev in, kot je bilo omenjeno na začetku, gre za odpravljanje dveh napak, ki so naslednje:
- Ranljivost CVE-2020-8177- To omogoča napadalcu, da pri dostopu do nadzorovanega napadalnega strežnika prepiše lokalno datoteko v sistemu. Težava se pokaže le, če se hkrati uporabljata možnosti "-J" ("-remote-header-name") in "-i" ("-head").
Možnost "-J" omogoča shranjevanje datoteke z določenim imenom v glavi "Content-Disposition". Sže obstaja datoteka z istim imenom, program curl običajno noče prepisati, če pa možnost Prisoten je "-I", logika preverjanja je kršena in prepisana datoteko (preverjanje se opravi v fazi sprejema odzivnega telesa, vendar se pri možnosti "-i" glave HTTP najprej ugasnejo in imajo čas, da vztrajajo, preden obdelajo odzivno telo). V datoteko so zapisane samo glave HTTP.
- Ranljivost CVE-2020-8169: to lahko povzroči, da na strežniku DNS puščajo nekatera gesla za dostop do spletnega mesta (Basic, Digest, NTLM itd.).
Pri uporabi znaka "@" v geslu, ki se uporablja tudi kot ločilo gesla v URL-ju, bo curl ob sprožitvi preusmeritve HTTP poslal del gesla za znakom "@" skupaj z domeno, da določi ime.
Če na primer določite geslo "passw @ passw" in uporabniško ime "user", bo curl ustvaril URL "https: // user: passw @ passw @ example.com / path" namesto "https: user: passw % 40passw@example.com/path "in pošljite zahtevo za razrešitev gostitelja" pasww@example.com "namesto" example.com ".
Težava se pokaže, ko omogočite podporo za preusmerjevalnike HTTP Relativni (onemogočen prek CURLOPT_FOLLOWLOCATION).
V primeru uporabe tradicionalnega DNS, ponudnik DNS in napadalec lahko najdeta informacije o delu gesla, ki lahko prestreže promet tranzitnega omrežja (tudi če je bila prvotna zahteva podana prek HTTPS, saj promet DNS ni šifriran). Pri uporabi DNS prek HTTPS (DoH) je uhajanje omejeno na stavek DoH.
Nazadnje je še ena od sprememb, ki je vključena v novo različico, dodajanje možnosti »–ponovno poskusi z vsemi napakami« za ponavljajoče se poskuse izvajanja operacij, ko pride do napake.
Kako namestiti cURL na Linux?
Za tiste, ki jih zanima namestitev te nove različice cURL To lahko storijo tako, da prenesejo izvorno kodo in jo sestavijo.
Da bi to naredili, je prva stvar, ki jo bomo naredili, s pomočjo terminala naložiti najnovejši paket cURL v njem vtipkajmo:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Potem bomo razpakirali preneseni paket z:
tar -xzvf curl-7.71.0.tar.xz
V novo ustvarjeno mapo vstopimo z:
cd curl-7.71.0
Kot root vnesemo z:
sudo su
In vtipkamo naslednje:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Končno lahko različico preverimo z:
curl --version
Če želite o tem izvedeti več, se lahko posvetujete naslednjo povezavo.