تم إطلاق الإصدار التالي من أداة Curl، وهي أداة مساعدة ومكتبة لنقل البيانات عبر الشبكة. على مدار 25 عامًا من تطوير المشروع، نفذت شركة curl الدعم للعديد من بروتوكولات الشبكة، مثل HTTP وGopher وFTP وSMTP وIMAP وPOP3 وSMB وMQTT. يتم استخدام مكتبة libcurl في مشاريع مهمة للمجتمع مثل Git وLibreOffice. يتم توزيع رمز المشروع بموجب ترخيص اللف (خيار ترخيص معهد ماساتشوستس للتكنولوجيا).
الإصدار جدير بالملاحظة لسببين:
- مضاف دعم البروتوكول التي اعتمدها الفريق الحكومي;
- مُثَبَّت خطير عالي التأثر في تنفيذ بروتوكول SOCKS5؛
وكان الضعف بشكل خاص ملحوظ من قبل مؤلف المشروع، دانيال ستينبرغ، باعتبارها "واحدة من أخطر نقاط الضعف في حليقة منذ وقت طويل." سبب الثغرة الأمنية هو خطأ في منطق إنشاء اتصال مع وكيل SOCKS5، والذي يسمح للمهاجم بتجاوز سعة المخزن المؤقت وتنفيذ تعليمات برمجية عشوائية من جانب التطبيق.
تم التعرف على الخطأ بواسطة جاي ساتيرو، كجزء من البرنامج مكافأة علة الإنترنت حصل على تعويض قدره 4660 دولارًا.
تجدر الإشارة إلى أن دانيال يتخذ موقفا نشطا في القضايا الأمنية و أعمال العمل على تنفيذ بروتوكول Rust HTTP في حليقة.
المصدر: linux.org.ru
