curl 8.20.0

29-го апреля, после более месяца разработки, 521 коммита и исправления 282 ошибок, состоялся выпуск 8.20.0 (274-й) кроссплатформенной консольной утилиты и библиотеки curl, написанных на языке C и распространяемых по лицензии curl.

Основные изменения

Безопасность

Как уже упоминалось ранее («High quality chaos»), в последнее время наблюдается значительный рост числа сообщений о проблемах безопасности. На этот раз опубликована информация о восьми новых уязвимостях в curl:

• CVE-2026-7168: утечка состояния аутентификации Digest между прокси-серверами;
• CVE-2026-7009: обход фиксации OCSP с помощью Apple SecTrust;
• CVE-2026-6429: утечка учётных данных netrc при повторном использовании прокси-соединения;
• CVE-2026-6276: устаревший хост пользовательских файлов cookie приводил к их утечке;
• CVE-2026-6253: утечка учётных данных при перенаправлении на прокси-сервер;
• CVE-2026-5773: неправильное повторное использование SMB-соединения;
• CVE-2026-5545: неправильное повторное использование соединения HTTP Negotiate;
• CVE-2026-4873: при повторном использовании соединения игнорировались требования TLS.

Другие изменения

• теперь используется пул потоков и очередь для ресолвинга;
• NTLM по умолчанию отключен;
• прекращена поддержка CMake 3.17 и более старых версий;
• прекращена поддержка библиотеки c-ares до версии 1.16.0;
• SMB по умолчанию отключен;
• добавлен флаг CURLMNWC_CLEAR_ALL для всех сетевых изменений;
• прекращена поддержка RTMP.

Ближайшие планы удалений

• локальные реализации криптографических алгоритмов;
• NTLM;
• SMB;
• поддержка TLS-SRP.

Если вас беспокоит что-либо из перечисленного, как можно скорее сообщите об этом в репозитории curl.

Источник: linux.org.ru