現在可用 新的更新版本d和“ cURL 7.71.0”,他們專注於解決兩個嚴重的錯誤 允許訪問密碼以及覆蓋文件的功能。 這就是為什麼要發出更新到新版本的邀請。
對於那些不知道的人 這個工具, 他們應該知道 用於通過網絡接收和發送數據, 通過設置cookie,user_agent,referer和任何其他標頭等參數,可以靈活地形成請求。
捲曲 支持HTTP,HTTPS,HTTP / 2.0,HTTP / 3,SMTP,IMAP,POP3,Telnet,FTP,LDAP,RTSP,RTMP和其他網絡協議。 同時,向libcurl庫發布了並行更新,該庫提供了一個API,可以使用C,Perl,PHP,Python等語言在程序中使用所有curl函數。
cURL 7.71.0中的主要更改
這個新版本是更新,如開始時所述,它解決了以下兩個錯誤:
- 漏洞CVE-2020-8177-這允許攻擊者在訪問受控攻擊服務器時覆蓋系統上的本地文件。 僅當同時使用“ -J”(“-remote-header-name”)和“ -i”(“-head”)選項時,問題才會顯現出來。
選項 “ -J”允許您使用指定的名稱保存文件 在“ Content-Disposition”標題中。 小號我已經存在一個同名文件,程序 捲曲通常拒絕覆蓋,但如果選擇 “ -I”存在,違反了檢查邏輯並被覆蓋 文件(驗證是在響應主體接收階段完成的,但是使用“ -i”選項,HTTP頭會先輸出,並有時間在處理響應主體之前保留)。 僅HTTP標頭被寫入文件。
- CVE-2020-8169漏洞: 這可能會導致DNS服務器中某些密碼無法訪問該站點(基本,摘要,NTLM等)。
在密碼中使用“ @”字符(也用作URL中的密碼定界符)時,當觸發HTTP重定向時,curl將在“ @”字符後與域一起發送部分密碼,以確定名稱。
例如,如果您指定密碼“ passw @ passw”和用戶名“ user”,curl將生成URL“ https://用戶:passw @ passw @ example.com / path”,而不是“ https:user:passw” %40passw@example.com/path並發送請求以解析主機pasww@example.com而不是“ example.com”。
啟用對HTTP重定向器的支持時,該問題就很明顯。 相對(通過CURLOPT_FOLLOWLOCATION禁用)。
在使用傳統DNS的情況下, DNS提供者和攻擊者可以找到有關部分密碼的信息,它可以攔截傳輸網絡流量(即使原始請求是通過HTTPS進行的,因為DNS流量未加密)。 在HTTPS(DoH)上使用DNS時,洩漏僅限於DoH語句。
最後,新版本中集成的另一個更改是添加了“ –retry-all-errors”選項,以便在發生錯誤時重複嘗試執行操作。
如何在Linux上安裝cURL?
對於那些有興趣能夠安裝此新版本的cURL的人 他們可以通過下載源代碼並進行編譯來實現。
為此,我們要做的第一件事是在終端的幫助下下載最新的cURL軟件包。 讓我們輸入:
wget https://curl.haxx.se/download/curl-7.71.0.tar.xz
然後,我們將使用以下命令解壓縮下載的軟件包:
tar -xzvf curl-7.71.0.tar.xz
我們使用以下命令輸入新創建的文件夾:
cd curl-7.71.0
我們以root身份輸入:
sudo su
然後輸入以下內容:
./configure --prefix=/usr \ --disable-static \ --enable-threaded-resolver \ --with-ca-path=/etc/ssl/certs &&
make make install && rm -rf docs/examples/.deps &&
find docs \( -name Makefile\* -o -name \*.1 -o -name \*.3 \) -exec rm {} \; &&
install -v -d -m755 /usr/share/doc/curl-7.71.0 && cp -v -R docs/* /usr/share/doc/curl-7.71.0
最後,我們可以使用以下命令檢查版本:
curl --version
如果您想了解更多信息,可以諮詢 以下鏈接。