curl 8.4.0

Состоялся очередной выпуск curl, утилиты и библиотики для передачи данных по сети. За 25 лет развития проекта в curl была реализована поддержка множества сетевых протоколов, таких как HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB и MQTT. Библиотеку libcurl используют такие важные для сообщества проекты как Git и LibreOffice. Код проекта распространяется под лицензией Curl (вариант лицензии MIT).

Выпуск примечателен сразу по двум причинам:

• добавлена поддержка протокола IPFS;
• исправлена опасная уязвимость в реализации протокола SOCKS5;

Уязвимость была особо отмечена автором проекта, Даниэлем Стенбергом, как «одна из самых серьезных уязвимостей в curl за долгое время». Уязвимость вызвана ошибкой в логике установки соединения с SOCKS5-прокси, позволяющей атакующему переполнить буфер и выполнить произвольный код на стороне приложения.

Ошибка была выявлена Джеем Сатиро, в рамках программы The Internet Bug Bounty ему была выплачена компенсация в размере $4660.

Следует отметить, что Даниэль занимает активную позицию в вопросах безопасности и работает над внедрением в curl реализации протокола HTTP на языке Rust.

Источник: linux.org.ru