Magagamit na ngayon ang bagong bersyon ng pag-update dat "cURL 7.71.0", kung saan nakatuon ang pansin sa paglutas ng dalawang seryosong mga bug na nagpapahintulot sa pag-access ng mga password at din ang kakayahang i-overlap ang mga file. Iyon ang dahilan kung bakit ang paanyaya upang mag-upgrade sa bagong bersyon ay ginawa.
Para sa mga hindi nakakaalam utility na ito, Dapat nilang malaman iyon naghahatid upang makatanggap at magpadala ng data sa network, Nagbibigay ng kakayahang kakayahang umangkop na bumuo ng isang kahilingan sa pamamagitan ng pagtatakda ng mga parameter tulad ng cookie, user_agent, referer, at anumang iba pang header.
magkulot sinusuportahan ang HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP, at iba pang mga network protocol. Sa parehong oras, ang isang parallel na update ay inilabas sa libcurl library, na nagbibigay ng isang API upang magamit ang lahat ng mga pagpapaandar ng curl sa mga programa sa mga wika tulad ng C, Perl, PHP, Python.
Pangunahing pagbabago sa cURL 7.71.0
Ang bagong bersyon ay isang pag-update at tulad ng nabanggit sa simula pagdating upang malutas ang dalawang mga error, na kung saan ay ang mga sumusunod:
- Kahinaan CVE-2020-8177- Pinapayagan nito ang isang magsasalakay na patungan ang isang lokal na file sa system kapag ina-access ang isang kontroladong server ng pag-atake. Nagpapakita lamang ang problema kapag ginamit nang sabay-sabay ang mga pagpipilian na "-J" ("–remote-header-name") at "-i" ("–head").
Ang pagpipilian Pinapayagan ka ng "-J" na i-save ang file na may tinukoy na pangalan sa header na "Content-Disposition". Smayroon na akong isang file na may parehong pangalan, ang programa normal na tumatanggi ang curl na patungan, ngunit kung ang pagpipilian Narito ang "-ako", ang lohika sa pag-verify ay nilabag at na-o-overtake ang file (ang pag-verify ay tapos na sa yugto ng pagtanggap ng pagtugon sa katawan, ngunit sa pagpipiliang "-i" ang mga HTTP header ay lalabas muna at may oras upang magpatuloy bago iproseso ang tugon na katawan). Ang mga header ng HTTP lamang ang nakasulat sa file.
- Ang CVE-2020-8169 kahinaan: maaaring maging sanhi ito ng isang pagtagas sa DNS server ng ilang mga password upang ma-access ang site (Basic, Digest, NTLM, atbp.).
Kapag ginagamit ang character na "@" sa isang password, na ginagamit din bilang isang delimiter ng password sa URL, kapag na-trigger ang isang pag-redirect ng HTTP, magpapadala ang curl ng isang bahagi ng password pagkatapos ng character na "@" kasama ang domain upang matukoy pangalan
Halimbawa, kung tinukoy mo ang password na "passw @ passw" at ang username na "gumagamit", bubuo ang URL ng "https: // user: passw @ passw @ example.com / path" sa halip na "https: user: passw % 40passw@example.com/path "at magpadala ng isang kahilingan upang malutas ang host na" pasww@example.com "sa halip na" example.com ".
Ang problema ay nagpapakita ng sarili nito kapag pinapagana ang suporta para sa mga HTTP redirector Kamag-anak (hindi pinagana sa pamamagitan ng CURLOPT_FOLLOWLOCATION).
Sa kaso ng paggamit ng tradisyunal na DNS, ang DNS provider at ang umaatake ay maaaring makahanap ng impormasyon tungkol sa isang bahagi ng password, na maaaring maharang ang trapiko sa network ng transit (kahit na ang orihinal na kahilingan ay nagawa sa HTTPS, dahil ang trapiko ng DNS ay hindi naka-encrypt). Kapag gumagamit ng DNS sa paglipas ng HTTPS (DoH), ang pagtulo ay limitado sa pahayag ng DoH.
Sa wakas, isa pa sa mga pagbabago na isinama sa bagong bersyon ay ang pagdaragdag ng opsyong "–retry-all-error" para sa paulit-ulit na pagtatangka upang maisagawa ang mga operasyon kapag may naganap na error.
Paano mag-install ng cURL sa Linux?
Para sa mga interesadong ma-install ang bagong bersyon ng cURL Maaari nila itong gawin sa pamamagitan ng pag-download ng source code at pag-compile nito.
Upang magawa ito, ang unang bagay na gagawin namin ay i-download ang pinakabagong package na CURL sa tulong ng isang terminal, dito i-type natin:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Pagkatapos, ilalabas namin ang zip sa na-download na package gamit ang:
tar -xzvf curl-7.71.0.tar.xz
Inilalagay namin ang bagong nilikha na folder na may:
cd curl-7.71.0
Pumasok kami bilang ugat sa:
sudo su
At nai-type namin ang sumusunod:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Sa wakas maaari naming suriin ang bersyon sa:
curl --version
Kung nais mong malaman ang tungkol dito, maaari kang kumunsulta ang sumusunod na link.