Сада доступан нова верзија ажурирања ди „цУРЛ 7.71.0“, у којем су се усредсредили на решавање две озбиљне грешке који омогућавају приступне лозинке и такође могућност преписивања датотека. Због тога се упућује позив за надоградњу на нову верзију.
За оне који не знају овај услужни програм, то би требали знати служи за пријем и слање података преко мреже, Пружа могућност флексибилног формирања захтева постављањем параметара као што су колачић, усер_агент, реферер и било које друго заглавље.
цУРЛ подржава ХТТП, ХТТПС, ХТТП / 2.0, ХТТП / 3, СМТП, ИМАП, ПОП3, Телнет, ФТП, ЛДАП, РТСП, РТМП и друге мрежне протоколе. Истовремено је објављено паралелно ажурирање библиотеке либцурл, које пружа АПИ за коришћење свих функција цурл у програмима на језицима као што су Ц, Перл, ПХП, Питхон.
Главне промене у цурЛ 7.71.0
Ова нова верзија је ажурирање и као што је поменуто на почетку, долази до решавања две грешке, а то су следеће:
- Рањивост ЦВЕ-2020-8177- Ово омогућава нападачу да препише локалну датотеку на систему када приступа контролираном серверу напада. Проблем се манифестује само када се истовремено користе опције „-Ј“ („–ремоте-хеадер-наме“) и „-и“ („–хеад“).
Опција „-Ј“ вам омогућава да сачувате датотеку са наведеним именом у заглављу „Цонтент-Диспоситион“. С.већ постоји датотека са истим именом, програм цурл обично одбија да га препише, али ако је опција Присутан је „-И“, логика верификације је прекршена и преписана датотеку (верификација се врши у фази пријема тела одговора, али са опцијом "-и" ХТТП заглавља се прво искључе и имају времена да се задрже пре обраде тела одговора). У датотеку се записују само ХТТП заглавља.
- Рањивост ЦВЕ-2020-8169: то може проузроковати цурење неких лозинки на ДНС серверу за приступ локацији (Басиц, Дигест, НТЛМ, итд.).
Када користите знак „@“ у лозинци, који се користи и као граничник лозинке у УРЛ-у, када се покрене ХТТП преусмеравање, цурл ће послати део лозинке после знака „@“ заједно са доменом да би утврдио име.
На пример, ако наведете лозинку „пассв @ пассв“ и корисничко име „усер“, цурл ће генерисати УРЛ адресу „хттпс: // усер: пассв @ пассв @ екампле.цом / патх“ уместо „хттпс: усер: пассв % 40пассв@екампле.цом/патх "и пошаљите захтев за решавање хоста" пасвв@екампле.цом "уместо" екампле.цом ".
Проблем се манифестује приликом омогућавања подршке за ХТТП преусмеравање Релативни (онемогућен преко ЦУРЛОПТ_ФОЛЛОВЛОЦАТИОН).
У случају коришћења традиционалног ДНС-а, ДНС провајдер и нападач могу пронаћи информације о делу лозинке, који могу да пресретну транзитни мрежни саобраћај (чак и ако је оригинални захтев поднет преко ХТТПС-а, јер ДНС саобраћај није шифрован). Када се користи ДНС преко ХТТПС-а (ДоХ), цурење је ограничено на изјаву ДоХ.
На крају, још једна од промена која је интегрисана у нову верзију је додавање опције „–покушај-све-грешке“ за поновљене покушаје извођења операција када дође до грешке.
Како инсталирати цУРЛ на Линук?
За оне који су заинтересовани за могућност инсталирања ове нове верзије цУРЛ-а То могу учинити преузимањем изворног кода и компајлирањем.
Да бисмо то урадили, прво што ћемо урадити је да преузмемо најновији цУРЛ пакет помоћу терминала у њему укуцајмо:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Затим ћемо распаковати преузети пакет са:
tar -xzvf curl-7.71.0.tar.xz
У новостворени фолдер улазимо са:
cd curl-7.71.0
Улазимо као роот са:
sudo su
Укуцавамо следеће:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Коначно, верзију можемо проверити помоћу:
curl --version
Ако желите да сазнате више о томе, можете се обратити следећи линк.