O Curl 8.0.0 é lançado com correções de segurança e melhorias e seu aniversário de 25 anos.
Aniversário do Curl com o lançamento da versão 8.0.0
O cURL é um projeto de software de computador que fornece uma biblioteca e uma ferramenta de linha de comando para transferir dados usando vários protocolos .O projeto cURL produz dois produtos, libcurl e cURL. Lançado pela primeira vez em 1997, o nome cURL vem do inglês "Client URL", que significa "URL do cliente".
Wikipédia
O
anúncio foi feito em 20 de Março de 2023
"Exatamente um mês desde o lançamento anterior, temos o prazer de oferecer a você o curl 8.0.0 lançado no aniversário oficial de 25 anos do curl.
Este é um aumento no número da versão principal, mas sem nenhuma mudança inovadora ou fogos de artifício. Decidimos que era hora de redefinir o número menor para um nível mais gerenciável e fazê-lo exatamente no aniversário de 25 anos do curl tornou tudo ainda mais divertido. Não há quebra de API nem ABI nesta versão.
Este é provavelmente o melhor lançamento de curl que já fizemos."
Destaques
- build: abandona o uso de XC_AMEND_DISTCLEAN
- connect: corrige as estatísticas do timer time_connect e time_appconnect
- curl.1: lista todas as “opções globais”
- ftp: modo ativo com SSL, adicione o filtro
- substituído sscanf () em vários analisadores
- headers: curl_easy_header e nextheader retornar buffers diferentes
- http2 correções de bugs
- http: não envia 100-continue para solicitações PUT curtas
- http: corrige o uso de soquete de domínio unix em conexões https
- multi: faz com que sinais multi_perform ignore/unignore com menos frequência
- multi: remove identificadores PENDING + MSGSENT da lista vinculada principal
- rand: use arc4random como fallback quando disponível
- urlapi: ‘%’ é ilegal em nomes de host
- urlapi: analisa literais IPv6 sem ENABLE_IPV6
- ligação a uma interface com nome de host usando c-ares
Correções de segurança
CVE-2023-27533: Injeção IAC da opção TELNET
O curl oferece suporte à comunicação usando o protocolo TELNET e, como parte disso, oferece aos usuários a passagem de nome de usuário e “opções de telnet” para a negociação do servidor.
Devido à falta de depuração de entrada adequada e sem ser a funcionalidade documentada, o curl passaria o nome de usuário e as opções de telnet para o servidor conforme fornecido. Isso pode permitir que os usuários transmitam conteúdo cuidadosamente elaborado que transmita conteúdo ou faça negociação de opções sem que o aplicativo pretenda fazê-lo. Em particular, se um aplicativo, por exemplo, permitir que os usuários forneçam os dados ou partes dos dados.
CVE-2023-27534: caminho SFTP ~ resolvendo discrepância
curl suporta transferências SFTP. A implementação SFTP do curl oferece um recurso especial no componente de caminho de URLs: um caractere til (~) como o primeiro elemento de caminho no caminho para denotar um caminho relativo ao diretório inicial do usuário. Isso é suportado por causa do texto no rascunho da RFC, uma vez proposto para se tornar, que ditaria como os URLs SFTP funcionam.
Devido a um bug, o tratamento do til no caminho SFTP não apenas o substituiu quando usado sozinho como o primeiro elemento do caminho, mas também erroneamente quando usado como um mero prefixo no primeiro elemento.
Usar um caminho como /~2/foo ao acessar um servidor usando o usuário dan (com o diretório inicial /home/dan) acessaria surpreendentemente o arquivo /home/dan2/foo.
Isso pode ser aproveitado para contornar a filtragem ou pior.
CVE-2023-27535: Reutilização de conexão FTP muito ansiosa
libcurl reutilizaria uma conexão FTP criada anteriormente, mesmo quando uma ou mais opções tivessem sido alteradas, o que poderia tornar o usuário efetivo muito diferente, levando à realização da segunda transferência com credenciais erradas.
A libcurl mantém as conexões usadas anteriormente em um pool de conexões para transferências subsequentes para reutilização se uma delas corresponder à configuração. No entanto, várias configurações de FTP foram deixadas de fora das verificações de correspondência de configuração, fazendo com que correspondam com muita facilidade. As configurações nas perguntas são nível CURLOPT_FTP_ACCOUNT, CURLOPT_FTP_ALTERNATIVE_TO_USER, CURLOPT_FTP_SSL_CCC e CURLOPT_USE_SSL.
CVE-2023-27536: delegação GSS muito ansiosa para reutilização de conexão
A libcurl reutilizaria uma conexão criada anteriormente mesmo quando a opção de delegação GSS (CURLOPT_GSSAPI_DELEGATION) tivesse sido alterada, o que poderia ter alterado as permissões do usuário em uma segunda transferência.
A libcurl mantém as conexões usadas anteriormente em um pool de conexões para transferências subsequentes para reutilização se uma delas corresponder à configuração. No entanto, essa configuração de delegação GSS foi deixada de fora das verificações de correspondência de configuração, fazendo com que correspondam com muita facilidade, afetando as transferências krb5/kerberos/negotiate/GSSAPI.
CVE-2023-27537: HSTS duplo livre
libcurl suporta o compartilhamento de dados HSTS entre “alças” separadas. Esse compartilhamento foi introduzido sem considerações para fazer esse compartilhamento em threads separados, mas não havia indicação desse fato na documentação.
Devido à falta de mutexes ou bloqueios de encadeamento, dois encadeamentos que compartilham os mesmos dados HSTS podem acabar fazendo um double-free ou use-after-free.
CVE-2023-27538: Conexão SSH muito ansiosa para reutilização ainda
libcurl reutilizaria uma conexão criada anteriormente, mesmo quando uma opção relacionada ao SSH tivesse sido alterada, o que deveria proibir a reutilização.
A libcurl mantém as conexões usadas anteriormente em um pool de conexões para transferências subsequentes para reutilização se uma delas corresponder à configuração. No entanto, duas configurações de SSH foram deixadas de fora das verificações de correspondência de configuração, fazendo com que correspondam com muita facilidade
Comentários
Postar um comentário
olá, seja bem vindo ao Linux Dicas e suporte !!