nová verze nástroje pro příjem a odesílání dat po síti - , který poskytuje možnost flexibilně formulovat požadavek zadáním parametrů, jako je cookie, user_agent, referer a jakékoli další hlavičky. cURL podporuje HTTP, HTTPS, HTTP/2.0, HTTP/3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP a další síťové protokoly. Současně byla vydána aktualizace pro paralelně vyvíjenou knihovnu libcurl, která poskytuje API pro použití všech funkcí curl v programech v jazycích jako C, Perl, PHP, Python.
Nová verze přidává možnost „--retry-all-errors“ pro opakování operace, pokud dojde k nějaké chybě, a opravuje dvě zranitelnosti:
- umožňuje přepsat místní soubor v systému při přístupu na server ovládaný útočníkem. Problém se objeví pouze při současném použití možností „-J“ („–vzdálené-název-hlavičky“) a „-i“ („—hlava“). Volba "-J" umožňuje uložit soubor s názvem uvedeným v záhlaví
"Obsah-Dispozice". Pokud soubor se stejným názvem již existuje, program curl normálně odmítne provést přepsání, ale pokud je přítomna možnost „-i“, logika kontroly je narušena a soubor je přepsán (kontrola se provádí ve fázi přijetí těla odpovědi, ale s volbou „-i“ se nejprve zobrazí hlavičky HTTP a mají čas na uložení, než se začne zpracovávat tělo odpovědi). Do souboru se zapisují pouze HTTP hlavičky, ale server může místo hlaviček poslat libovolná data a ty se zapíšou. - může vést k úniku některých hesel pro přístup k webu (Basic, Digest, NTLM atd.) na server DNS. Použitím symbolu „@“ v hesle, který se také používá jako oddělovač hesla v adrese URL, když je spuštěno přesměrování HTTP, curl odešle část hesla za symbolem „@“ spolu s doménou k vyřešení. název. Pokud například zadáte heslo „passw@rd123“ a uživatelské jméno „dan“, curl vygeneruje adresu URL „https://dan:passw@[chráněno e-mailem]/cesta" místo "https://dan:passw%[chráněno e-mailem]/cesta" a odešle požadavek na vyřešení hostitele "[chráněno e-mailem]" místo "example.com".
Problém se objeví, když je povolena podpora relativních přesměrovačů HTTP (vypnuto pomocí CURLOPT_FOLLOWLOCATION). Pokud je použit tradiční DNS, informace o části hesla může získat poskytovatel DNS a útočník, který má schopnost zachytit tranzitní síťový provoz (i když původní požadavek byl přes HTTPS, protože DNS provoz není šifrován). Při použití DNS-over-HTTPS (DoH) je únik omezen na operátora DoH.
Zdroj: opennet.ru