কার্ল 7.71.0 রিলিজ হয়েছে, দুটি দুর্বলতা ঠিক করে

পাওয়া যায় নেটওয়ার্কের মাধ্যমে ডেটা গ্রহণ এবং পাঠানোর জন্য ইউটিলিটির নতুন সংস্করণ - 7.71.0 করণ, যা কুকি, user_agent, রেফারার এবং অন্য কোনো শিরোনামের মতো পরামিতিগুলি নির্দিষ্ট করে নমনীয়ভাবে একটি অনুরোধ তৈরি করার ক্ষমতা প্রদান করে। cURL HTTP, HTTPS, HTTP/2.0, HTTP/3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP এবং অন্যান্য নেটওয়ার্ক প্রোটোকল সমর্থন করে। একই সময়ে, libcurl লাইব্রেরির জন্য একটি আপডেট প্রকাশিত হয়েছিল, যা সমান্তরালভাবে বিকাশ করা হচ্ছে, C, Perl, PHP, Python এর মতো ভাষায় প্রোগ্রামগুলিতে সমস্ত কার্ল ফাংশন ব্যবহারের জন্য একটি API প্রদান করে।

নতুন রিলিজে "--পুনরায় চেষ্টা-সমস্ত-ত্রুটি" বিকল্প যোগ করা হয়েছে যদি কোনো ত্রুটি দেখা দেয় এবং দুটি দুর্বলতা ঠিক করে তাহলে অপারেশন পুনরায় চেষ্টা করার জন্য:

• ক্ষতিগ্রস্থতা জন্য CVE-2020-8177 আক্রমণকারী দ্বারা নিয়ন্ত্রিত একটি সার্ভার অ্যাক্সেস করার সময় আপনাকে সিস্টেমে একটি স্থানীয় ফাইল ওভাররাইট করতে দেয়। সমস্যাটি তখনই দেখা যায় যখন “-J” (“–remote-header-name”) এবং “-i” (“—head”) বিকল্পগুলি একই সাথে ব্যবহার করা হয়। "-J" বিকল্পটি আপনাকে হেডারে উল্লেখিত নামের সাথে ফাইলটি সংরক্ষণ করতে দেয়
  "কন্টেন্ট-ডিসপোজিশন"। যদি একই নামের একটি ফাইল ইতিমধ্যেই বিদ্যমান থাকে, তাহলে কার্ল প্রোগ্রাম সাধারণত একটি ওভাররাইট করতে অস্বীকার করে, কিন্তু "-i" বিকল্পটি উপস্থিত থাকলে, চেক লজিকটি ভেঙে যায় এবং ফাইলটি ওভাররাইট করা হয় (পর্যায়ে চেক করা হয় রেসপন্স বডি প্রাপ্তির ক্ষেত্রে, কিন্তু “-i” বিকল্পের সাথে HTTP হেডারগুলি প্রথমে প্রদর্শিত হয় এবং রেসপন্স বডি প্রসেস করা শুরু হওয়ার আগে সেভ করার সময় থাকে)। শুধুমাত্র HTTP শিরোনামগুলি ফাইলটিতে লেখা হয়, তবে সার্ভার হেডারের পরিবর্তে নির্বিচারে ডেটা পাঠাতে পারে এবং সেগুলি লেখা হবে।

• ক্ষতিগ্রস্থতা জন্য CVE-2020-8169 কিছু সাইট অ্যাক্সেস পাসওয়ার্ডের ডিএনএস সার্ভারে ফাঁস হতে পারে (বেসিক, ডাইজেস্ট, NTLM, ইত্যাদি)। পাসওয়ার্ডে "@" চিহ্ন ব্যবহার করে, যা URL-এ পাসওয়ার্ড বিভাজক হিসাবেও ব্যবহৃত হয়, যখন একটি HTTP পুনঃনির্দেশ ট্রিগার করা হয়, তখন curl ডোমেনের সাথে "@" চিহ্নের পরে পাসওয়ার্ডের অংশটি সমাধান করতে পাঠাবে। নাম. উদাহরণস্বরূপ, আপনি যদি পাসওয়ার্ড "passw@rd123" এবং ব্যবহারকারীর নাম "dan" প্রদান করেন, তাহলে curl "https://dan:passw@" URL তৈরি করবে[ইমেল সুরক্ষিত]"https://dan:passw%" এর পরিবর্তে /path"[ইমেল সুরক্ষিত]/path" এবং হোস্ট সমাধান করার জন্য একটি অনুরোধ পাঠাবে "[ইমেল সুরক্ষিত]"example.com" এর পরিবর্তে।

  যখন আপেক্ষিক HTTP পুনঃনির্দেশকগুলির জন্য সমর্থন সক্ষম করা হয় (CURLOPT_FOLLOWLOCATION এর মাধ্যমে অক্ষম করা হয়) তখন সমস্যাটি দেখা দেয়৷ যদি প্রথাগত DNS ব্যবহার করা হয়, পাসওয়ার্ডের অংশ সম্পর্কে তথ্য DNS প্রদানকারীর দ্বারা এবং একজন আক্রমণকারীর দ্বারা প্রাপ্ত করা যেতে পারে যার ট্রানজিট নেটওয়ার্ক ট্র্যাফিক বাধা দেওয়ার ক্ষমতা রয়েছে (এমনকি যদি আসল অনুরোধটি HTTPS এর মাধ্যমে হয়, যেহেতু DNS ট্র্যাফিক এনক্রিপ্ট করা হয়নি)। যখন DNS-over-HTTPS (DoH) ব্যবহার করা হয়, তখন ফুটোটি DoH অপারেটরের মধ্যে সীমাবদ্ধ থাকে।

উত্স: opennet.ru