Nu tillgängliga den nya uppdateringsversionen de "cURL 7.71.0", där de fokuserade på att fixa två allvarliga buggar som ger åtkomst till lösenord och även möjlighet att skriva över filer. Det är därför inbjudan att uppdatera till den nya versionen görs.
För de som inte är medvetna om detta verktyg, de borde veta det Den används för att ta emot och skicka data över nätverket. ger möjlighet att flexibelt skapa en begäran genom att ställa in parametrar som cookie, user_agent, referer och andra rubriker.
ringla stöder HTTP, HTTPS, HTTP/2.0, HTTP/3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP och andra nätverksprotokoll. Samtidigt släpptes en parallell uppdatering av libcurl-biblioteket, som ger ett API för att använda alla curl-funktioner i program på språk som C, Perl, PHP, Python.
Större förändringar i cURL 7.71.0
Den här nya versionen är en uppdatering och som nämndes i början kommer den att lösa två buggar, som är följande:
- Sårbarhet CVE-2020-8177: Detta gör att en angripare kan skriva över en lokal fil på systemet när han kommer åt en kontrollerad attackserver. Problemet visar sig bara när man använder alternativen "-J" ("–remote-header-name") och "-i" ("–head") samtidigt.
Alternativet "-J" låter dig spara filen med det angivna namnet i rubriken "Content-Disposition". SJag har redan en fil med samma namn, programmet curl vägrar normalt att skriva över, men om alternativet "-i" finns, kontrolllogiken har brutits och skrivs över filen (verifieringen görs vid mottagandet av svarstexten, men med alternativet "-i" matas HTTP-huvudena ut först och har tid att bestå innan svarstexten bearbetas). Endast HTTP-huvudena skrivs till filen.
- Sårbarheten i CVE-2020-8169: detta kan orsaka en läcka i DNS-servern av vissa lösenord för att komma åt webbplatsen (Basic, Digest, NTLM, etc.).
När "@"-tecknet används i ett lösenord, som också används som lösenordsavgränsare i URL:en, när en HTTP-omdirigering utlöses, kommer curl att skicka en del av lösenordet efter "@"-tecknet tillsammans med domänen till bestämma namn.
Om du till exempel anger lösenordet "passw@passw" och användarnamnet "user", kommer curl att mata ut webbadressen "https://user:passw@passw@example.com/path" istället för "https:user: passw" %40passw@example.com/path" och skicka en begäran om att lösa värden "pasww@example.com" istället för "example.com".
Problemet visar sig när man aktiverar stöd för HTTP-omdirigerare relativ (inaktiverad via CURLOPT_FOLLOWLOCATION).
Vid användning av traditionell DNS, DNS-leverantören och angriparen kan hitta information om en del av lösenordet, som kan avlyssna transitnätverkstrafik (även om den ursprungliga begäran gjordes över HTTPS, eftersom DNS-trafik inte är krypterad). När du använder DNS över HTTPS (DoH) är läckan begränsad till DoH-satsen.
Slutligen, en annan av ändringarna som är integrerade i den nya versionen är tillägget av alternativet "–försök alla fel" för upprepade försök att utföra operationer när ett fel uppstår.
Hur installerar jag CURL på Linux?
För dem som är intresserade av att kunna installera den här nya versionen av cURL De kan göra det genom att ladda ner källkoden och sammanställa den.
För att göra detta är det första vi ska göra att ladda ner det senaste cURL-paketet med hjälp av en terminal, i den låt oss skriva:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Sedan kommer vi att packa upp det nedladdade paketet med:
tar -xzvf curl-7.71.0.tar.xz
Vi går in i den nyligen skapade mappen med:
cd curl-7.71.0
Vi går in som rot med:
sudo su
Och vi skriver följande:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Slutligen kan vi kontrollera versionen med:
curl --version
Om du vill veta mer om det kan du rådfråga följande länk.