Şuan uygun yeni güncelleme sürümü dve iki ciddi hatayı çözmeye odaklandıkları "cURL 7.71.0" erişim parolalarına ve ayrıca dosyaların üzerine yazılmasına izin veren. Bu nedenle yeni sürüme yükseltme daveti yapılır.
Habersiz olanlar için bu yardımcı program, bunu bilmeleri gerekir ağ üzerinden veri almaya ve göndermeye hizmet eder, cookie, user_agent, referer ve diğer herhangi bir başlık gibi parametreleri ayarlayarak esnek bir şekilde istek oluşturma yeteneği sağlar.
cURL HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP ve diğer ağ protokollerini destekler. Aynı zamanda, programlardaki tüm curl işlevlerini C, Perl, PHP, Python gibi dillerde kullanmak için bir API sağlayan libcurl kitaplığına paralel bir güncelleme yayınlandı.
CURL 7.71.0'daki ana değişiklikler
Bu yeni sürüm bir güncellemedir ve başlangıçta da belirtildiği gibi, aşağıdaki iki hatayı çözmeye gelir:
- Güvenlik Açığı CVE-2020-8177- Bu, saldırganın kontrollü bir saldırı sunucusuna erişirken sistemdeki yerel bir dosyanın üzerine yazmasına izin verir. Sorun yalnızca "-J" ("–remote-başlık-adı") ve "-i" ("–head") seçenekleri aynı anda kullanıldığında kendini gösterir.
Seçimi "-J", dosyayı belirtilen adla kaydetmenize olanak sağlar "Content-Disposition" başlığında. Szaten aynı isimde bir dosyam var, program curl normalde üzerine yazmayı reddediyor, ama eğer seçenek "-I" mevcut, kontrol mantığı ihlal edilmiş ve üzerine yazılmıştır dosya (doğrulama, yanıt gövdesinin alım aşamasında yapılır, ancak "-i" seçeneğiyle ilk olarak HTTP başlıkları çıkar ve yanıt gövdesini işlemeden önce kalması için zamana sahip olur). Dosyaya yalnızca HTTP üstbilgileri yazılır.
- CVE-2020-8169 güvenlik açığı: bu, siteye erişmek için bazı şifrelerin DNS sunucusunda bir sızıntıya neden olabilir (Temel, Özet, NTLM, vb.).
URL'de parola sınırlayıcı olarak da kullanılan bir parolada "@" karakterini kullanırken, bir HTTP yeniden yönlendirmesi tetiklendiğinde curl, parolanın bir kısmını "@" karakterinden sonra etki alanıyla birlikte gönderir. isim.
Örneğin, "şifre @ şifre" şifresini ve "kullanıcı" kullanıcı adını belirtirseniz, curl, "https: kullanıcı: şifre" yerine "https: // kullanıcı: şifre @ şifre @ ornek.com / yol" URL'sini oluşturacaktır. % 40passw@example.com/path "ve" pasww@example.com "ana bilgisayarını" example.com "yerine çözmek için bir istek gönderin.
Sorun, HTTP yeniden yönlendiricileri için desteği etkinleştirirken kendini gösterir Göreli (CURLOPT_FOLLOWLOCATION aracılığıyla devre dışı bırakılır).
Geleneksel DNS kullanılması durumunda, DNS sağlayıcı ve saldırgan, şifrenin bir bölümü hakkında bilgi bulabilir, geçiş ağı trafiğini kesebilen (DNS trafiği şifrelenmediğinden orijinal istek HTTPS üzerinden yapılmış olsa bile). HTTPS üzerinden DNS (DoH) kullanırken, sızıntı DoH ifadesiyle sınırlıdır.
Son olarak, yeni sürüme entegre edilen değişikliklerden bir diğeri, bir hata oluştuğunda işlemleri tekrar tekrar gerçekleştirme girişimleri için "–tüm hataları yeniden dene" seçeneğinin eklenmesidir.
Linux'a cURL nasıl kurulur?
CURL'nin bu yeni sürümünü yükleyebilmek isteyenler için Kaynak kodunu indirip derleyerek yapabilirler.
Bunu yapmak için yapacağımız ilk şey, en son cURL paketini bir terminal yardımıyla indirmektir. hadi yazalım:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Ardından, indirilen paketi şu şekilde açacağız:
tar -xzvf curl-7.71.0.tar.xz
Yeni oluşturulan klasöre şu şekilde giriyoruz:
cd curl-7.71.0
Şunlarla kök olarak giriyoruz:
sudo su
Ve aşağıdakileri yazıyoruz:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Son olarak sürümü şu şekilde kontrol edebiliriz:
curl --version
Daha fazlasını öğrenmek istiyorsanız, danışabilirsiniz. aşağıdaki bağlantı.