Tani në dispozicion versioni i ri i azhurnimit ddhe "Curl 7.71.0", në të cilën ata u përqendruan në zgjidhjen e dy gabimeve serioze që lejojnë fjalëkalimet e hyrjes dhe gjithashtu aftësinë për të mbishkruar skedarët. Kjo është arsyeja pse bëhet ftesa për të azhurnuar në versionin e ri.
Për ata që nuk kanë dijeni këtë mjet, ata duhet ta dinë këtë shërben për të marrë dhe dërguar të dhëna përmes rrjetit, Siguron aftësinë për të formuar në mënyrë fleksibile një kërkesë duke vendosur parametra të tillë si cookie, user_agent, referues dhe çdo titull tjetër.
mblidhem mbështet HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP dhe protokolle të tjera të rrjetit. Në të njëjtën kohë, një azhurnim paralel u lëshua në bibliotekën libcurl, e cila siguron një API për të përdorur të gjitha funksionet e curl në programe në gjuhë të tilla si C, Perl, PHP, Python.
Ndryshimet kryesore në CURL 7.71.0
Ky version i ri është një azhurnim dhe siç u përmend në fillim do të zgjidhë dy gabime, të cilat janë si më poshtë:
- Vulnerabiliteti CVE-2020-8177- Kjo lejon që një sulmues të mbishkruajë një skedar lokal në sistem kur hyn në një server sulmi të kontrolluar. Problemi ndodh vetëm kur opsionet "-J" ("-remote-header-name") dhe "-i" ("–head") përdoren njëkohësisht.
Opsioni "-J" ju lejon të ruani skedarin me emrin e specifikuar në titullin "Content-Dispose". SUnë tashmë ekzistoj një skedar me të njëjtin emër, programi curl normalisht refuzon të mbishkruhet, por nëse opsioni "-I" është prezent, logjika e kontrollit është shkelur dhe mbishkruar skedari (verifikimi bëhet në fazën e marrjes së trupit të përgjigjes, por me opsionin "-i" headers HTTP dalin së pari dhe kanë kohë për të vazhduar përpara se të përpunojnë trupin e përgjigjes). Vetëm skedarët HTTP shkruhen në skedar.
- Cenueshmëria e CVE-2020-8169: kjo mund të shkaktojë një rrjedhje në serverin DNS të disa fjalëkalimeve për të hyrë në sit (Basic, Digest, NTLM, etj.).
Kur përdorni karakterin "@" në një fjalëkalim, i cili përdoret gjithashtu si një ndarës i fjalëkalimeve në URL, kur shkaktohet një ridrejtim HTTP, curl do të dërgojë një pjesë të fjalëkalimit pas karakterit "@" së bashku me domenin për të përcaktuar emrin
Për shembull, nëse specifikoni fjalëkalimin "passw @ passw" dhe emrin e përdoruesit "user", curl do të gjenerojë URL "https: // user: passw @ passw @ example.com / path" në vend të "https: user: passw % 40passw@example.com/path "dhe dërgoni një kërkesë për të zgjidhur hostin" pasww@example.com "në vend të" example.com ".
Problemi shfaqet kur mundëson mbështetjen për ridrejtuesit HTTP Të afërm (me aftësi të kufizuara përmes CURLOPT_FOLLOWLOCATION).
Në rastin e përdorimit të DNS tradicionale, ofruesi i DNS dhe sulmuesi mund të gjejnë informacione në lidhje me një pjesë të fjalëkalimit, i cili mund të përgjojë trafikun e rrjetit tranzit (edhe nëse kërkesa origjinale është bërë përmes HTTPS, pasi trafiku DNS nuk është i koduar). Kur përdorni DNS mbi HTTPS (DoH), rrjedhja kufizohet në deklaratën DoH.
Më në fund, një tjetër nga ndryshimet që është i integruar në versionin e ri është shtimi i opsionit "-retry-all-Gabimet" për përpjekjet e përsëritura për të kryer operacione kur ndodh një gabim.
Si të instaloni cURL në Linux?
Për ata që janë të interesuar të jenë në gjendje të instalojnë këtë version të ri të cURL Ata mund ta bëjnë atë duke shkarkuar kodin burimor dhe duke e përpiluar atë.
Për ta bërë këtë, gjëja e parë që do të bëjmë është të shkarkojmë paketën më të fundit cURL me ndihmën e një terminali, në të le të shkruajmë:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Pastaj, ne do të zbërthejmë paketën e shkarkuar me:
tar -xzvf curl-7.71.0.tar.xz
Ne futemi në dosjen e sapo krijuar me:
cd curl-7.71.0
Ne futemi si rrënjë me:
sudo su
Dhe ne shtypim sa vijon:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Më në fund mund ta kontrollojmë versionin me:
curl --version
Nëse doni të dini më shumë rreth kësaj, mund të konsultoheni lidhja e mëposhtme.