bag-ong bersyon sa utility alang sa pagdawat ug pagpadala sa datos sa network - , nga naghatag sa abilidad sa flexible nga paghimo sa usa ka hangyo pinaagi sa pagtino sa mga parameter sama sa cookie, user_agent, referer ug bisan unsang uban pang mga ulohan. Gisuportahan sa cURL ang HTTP, HTTPS, HTTP/2.0, HTTP/3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP ug uban pang mga protocol sa network. Sa parehas nga oras, gipagawas ang usa ka pag-update alang sa librarya sa libcurl, nga gipalambo nga managsama, nga naghatag usa ka API alang sa paggamit sa tanan nga mga function sa curl sa mga programa sa mga pinulongan sama sa C, Perl, PHP, Python.
Gidugang sa bag-ong pagpagawas ang kapilian nga "--retry-all-errors" aron sulayan pag-usab ang mga operasyon kung adunay mga sayup nga mahitabo ug ayohon ang duha nga mga kahuyangan:
- nagtugot kanimo sa pag-overwrite sa usa ka lokal nga file sa sistema kung nag-access sa usa ka server nga kontrolado sa tig-atake. Ang problema makita lamang kung ang "-J" (ββremote-header-nameβ) ug β-iβ (ββheadβ) nga mga opsyon gigamit nga dungan. Ang "-J" nga kapilian nagtugot kanimo sa pagluwas sa file nga adunay ngalan nga gitakda sa header
"Content-Disposition". Kung ang usa ka file nga adunay parehas nga ngalan naglungtad na, ang curl program kasagarang nagdumili sa paghimo sa usa ka overwrite, apan kung ang "-i" nga kapilian naa, ang check logic nabuak ug ang file gi-overwrite (ang tseke gihimo sa entablado. sa pagdawat sa tubag nga lawas, apan uban sa "-i" nga kapilian HTTP nga mga ulohan gipakita una ug adunay panahon nga maluwas sa dili pa ang tubag nga lawas magsugod sa pagproseso). Ang mga header sa HTTP ra ang gisulat sa file, apan ang server mahimong magpadala ug arbitraryong datos imbes nga mga ulohan ug kini isulat. - mahimong mosangpot sa usa ka pagtulo sa DNS server sa pipila sa mga password sa pag-access sa site (Basic, Digest, NTLM, ug uban pa). Pinaagi sa paggamit sa "@" nga simbolo sa usa ka password, nga gigamit usab ingon usa ka password separator sa URL, kung ang usa ka HTTP redirect ma-trigger, ang curl ipadala ang bahin sa password pagkahuman sa "@" nga simbolo kauban ang domain aron masulbad. ang ngalan. Pananglitan, kung ihatag nimo ang password nga "passw@rd123" ug ang username nga "dan", ang curl maghimo sa URL nga "https://dan:passw@[protektado sa email]/path" imbes nga "https://dan:passw%[protektado sa email]/path" ug magpadala usa ka hangyo aron masulbad ang host "[protektado sa email]" imbes nga "example.com".
Ang problema makita kung ang suporta alang sa mga paryente nga HTTP redirectors gipagana (gipugngan pinaagi sa CURLOPT_FOLLOWLOCATION). Kung gigamit ang tradisyonal nga DNS, ang kasayuran bahin sa bahin sa password mahimong makuha sa DNS provider ug sa usa ka tig-atake nga adunay katakus sa pag-intercept sa trapiko sa transit network (bisan kung ang orihinal nga hangyo pinaagi sa HTTPS, tungod kay ang trapiko sa DNS wala ma-encrypt). Kung gigamit ang DNS-over-HTTPS (DoH), ang leak kay limitado sa operator sa DoH.
Source: opennet.ru