Hiện tại có sẵn phiên bản cập nhật mới dvà “cURL 7.71.0”, trong đó họ tập trung vào giải quyết hai lỗi nghiêm trọng cho phép mật khẩu truy cập và cả khả năng ghi đè tệp. Đó là lý do tại sao lời mời nâng cấp lên phiên bản mới được thực hiện.
Dành cho những ai chưa biết tiện ích này, họ nên biết rằng phục vụ để nhận và gửi dữ liệu qua mạng, cung cấp khả năng tạo yêu cầu một cách linh hoạt bằng cách thiết lập các tham số như cookie, user_agent, referencer và bất kỳ tiêu đề nào khác.
cURL hỗ trợ HTTP, HTTPS, HTTP / 2.0, HTTP / 3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP và các giao thức mạng khác. Đồng thời, một bản cập nhật song song đã được phát hành cho thư viện libcurl, cung cấp một API để sử dụng tất cả các hàm curl trong các chương trình bằng các ngôn ngữ như C, Perl, PHP, Python.
Những thay đổi chính trong cURL 7.71.0
Phiên bản mới này là một bản cập nhật và như đã đề cập ở phần đầu, nó giải quyết được hai lỗi, đó là:
- Lỗ hổng bảo mật CVE-2020-8177- Điều này cho phép kẻ tấn công ghi đè lên một tệp cục bộ trên hệ thống khi truy cập vào một máy chủ tấn công có kiểm soát. Vấn đề chỉ bộc lộ khi tùy chọn "-J" ("–remote-header-name") và "-i" ("–head") được sử dụng đồng thời.
các tùy chọn "-J" cho phép bạn lưu tệp với tên được chỉ định trong tiêu đề "Nội dung-Bố trí". Stôi đã tồn tại một tệp có cùng tên, chương trình curl thường từ chối ghi đè, nhưng nếu tùy chọn "Tôi" hiện diện, logic xác minh bị vi phạm và bị ghi đè tệp (xác minh được thực hiện ở giai đoạn tiếp nhận nội dung phản hồi, nhưng với tùy chọn "-i", tiêu đề HTTP sẽ xuất hiện trước và có thời gian tồn tại trước khi xử lý nội dung phản hồi). Chỉ các tiêu đề HTTP được ghi vào tệp.
- Lỗ hổng CVE-2020-8169: điều này có thể gây ra rò rỉ trong máy chủ DNS của một số mật khẩu để truy cập vào trang web (Cơ bản, Thông báo, NTLM, v.v.).
Khi sử dụng ký tự "@" trong mật khẩu, ký tự này cũng được sử dụng làm dấu phân cách mật khẩu trong URL, khi chuyển hướng HTTP được kích hoạt, curl sẽ gửi một phần mật khẩu sau ký tự "@" cùng với miền để xác định Tên.
Ví dụ: nếu bạn chỉ định mật khẩu "passw @ passw" và tên người dùng "user", curl sẽ tạo URL "https: // user: passw @ passw @ example.com / path" thay vì "https: user: passw % 40passw@example.com/path "và gửi yêu cầu giải quyết máy chủ lưu trữ" pasww@example.com "thay vì" example.com ".
Sự cố tự bộc lộ khi bật hỗ trợ cho các trình chuyển hướng HTTP Tương đối (bị vô hiệu hóa qua CURLOPT_FOLLOWLOCATION).
Trong trường hợp sử dụng DNS truyền thống, nhà cung cấp DNS và kẻ tấn công có thể tìm thấy thông tin về một phần của mật khẩu, có thể chặn lưu lượng mạng chuyển tiếp (ngay cả khi yêu cầu ban đầu được thực hiện qua HTTPS, vì lưu lượng DNS không được mã hóa). Khi sử dụng DNS qua HTTPS (DoH), sự rò rỉ được giới hạn trong câu lệnh DoH.
Cuối cùng, một trong những thay đổi khác được tích hợp vào phiên bản mới là việc bổ sung tùy chọn "–retry-all-error" cho các nỗ lực lặp lại để thực hiện các thao tác khi xảy ra lỗi.
Làm thế nào để cài đặt cURL trên Linux?
Dành cho những ai quan tâm đến việc có thể cài đặt phiên bản cURL mới này Họ có thể làm điều đó bằng cách tải xuống mã nguồn và biên dịch nó.
Để thực hiện việc này, điều đầu tiên chúng ta sẽ làm là tải xuống gói cURL mới nhất với sự trợ giúp của thiết bị đầu cuối, trong đó hãy gõ:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
Sau đó, chúng tôi sẽ giải nén gói đã tải xuống với:
tar -xzvf curl-7.71.0.tar.xz
Chúng tôi nhập thư mục mới tạo với:
cd curl-7.71.0
Chúng tôi nhập dưới dạng root với:
sudo su
Và chúng tôi gõ như sau:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
Cuối cùng, chúng tôi có thể kiểm tra phiên bản với:
curl --version
Nếu bạn muốn biết thêm về nó, bạn có thể tham khảo liên kết sau.