Адбыўся чарговы выпуск curl, утыліты і бібліётыкі для перадачы даных па сетцы. За 25 гадоў развіцця праекту ў curl была рэалізаваная падтрымка мноства сеткавых пратаколаў, такіх як HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB і MQTT. Бібліятэку libcurl выкарыстоўваюць такія важныя для суполкі праекты як Git і LibreOffice. Код праекту распаўсюджваецца пад ліцэнзіяй Віцца (варыянт ліцэнзіі MIT).
Выпуск адметны адразу па двух прычынах:
- дададзена падтрымка пратакола ОПЗ;
- выпраўлена небяспечная уразлівасць у рэалізацыі пратакола SOCKS5;
Уразлівасць была асоба адзначана аўтарам праекту, Даніэлем Стэнбергам, як «адна з самых сур'ёзных уразлівасцяў у curl за доўгі час». Уразлівасць выклікана памылкай у логіцы ўстаноўкі злучэння з SOCKS5-проксі, якая дазваляе атакаваламу перапоўніць буфер і выканаць адвольны код на баку прыкладання.
Памылка была выяўлена Джэем Саціра, у рамках праграмы The Internet Bug Bounty яму была выплачана кампенсацыя ў памеры $4660.
Варта адзначыць, што Даніэль займае актыўную пазіцыю ў пытаннях бяспекі і працуе над укараненнем у curl рэалізацыі пратаколу HTTP на мове Rust.
Крыніца: linux.org.ru
